谷歌研究人员报告了Apache Web服务器软件的3个缺陷

如果您的web服务器在Apache上运行，您应该立即安装最新版本的服务器应用程序，以防止黑客对其进行未经授权的控制。

Apache最近修复了其web服务器软件中的多个漏洞，这些漏洞可能导致执行任意代码，在特定情况下，甚至可能允许攻击者造成崩溃和拒绝服务。

CVE-2020—9490、CVE-2020—11984、CVE-2020—11993跟踪的缺陷被谷歌Project No的Felix Wilhelm发现，并由APACHE基金会在最新版本的软件（2.4.46）中得到解决。

三个问题中的第一个涉及可能的远程代码执行漏洞，这是由于“mod_uwsgi”模块（CVE-2020-11984）的缓冲区溢出造成的，可能允许对手根据与服务器上运行的应用程序相关的权限查看、更改或删除敏感数据。

“恶意请求可能会导致在恶意进程环境下运行的服务器上现有文件的信息泄露或[远程代码执行]，”Apache指出。

第二个漏洞涉及在“mod_http2”模块（CVE-2020-11993）中启用调试时触发的漏洞，导致在错误的连接上进行日志记录语句，因此由于并发日志池使用导致内存损坏。

CVE-2020-9490是三个版本中最严重的版本，它也位于HTTP/2模块中，并使用精心编制的“缓存摘要”头导致内存损坏，从而导致崩溃和拒绝服务。

Cache Digest是一个现已废弃的web优化功能的一部分，该功能旨在解决服务器推送的问题—；它允许服务器提前向客户端发送响应—；通过允许客户端将其新缓存的内容通知服务器，这样就不会在发送客户端缓存中已有的资源时浪费带宽。

因此，当在HTTP/2请求中向“缓存摘要”头中注入精心编制的值时，当服务器使用该头发送推送数据包时，会导致崩溃。在未打补丁的服务器上，可以通过关闭HTTP/2服务器推送功能来解决此问题。

尽管目前还没有关于这些漏洞在野外被利用的报告，但在进行适当测试后，必须立即将补丁应用于易受攻击的系统，并确保应用程序仅配置了所需的权限，以减轻影响。