欢迎访问Sunbet官网(www.sunbet.us),Allbet欧博官网(www.ALLbetgame.us)!

首页Sunbet_新闻事件正文

Apache被曝3个安全漏洞

admin2020-08-2933漏洞

Apache被曝3个安全漏洞  漏洞 第1张

Google Project Zero研究人员Felix Wilhelm 近日在Apache web服务器中发现了多个安全漏洞,分别是CVE-2020-9490、CVE-2020-11984和CVE-2020-11993。攻击者利用这些漏洞可以执行任意代码,在特定情境下还可以引发奔溃或拒绝服务攻击。

CVE-2020-11984

CVE-2020-11984 漏洞是mod_uwsgi 模块的缓冲区溢出引发的远程代码执行漏洞,攻击者利用该漏洞可以查看、修改和删除敏感数据,具体根据运行在服务器上的应用的权限决定。攻击者可以通过构造恶意请求来引发信息泄露或利用恶意进程环境中运行的服务器上的现有文件实现远程代码执行。

CVE-2020-11993

CVE-2020-11993 漏洞位于mod_http2 模块中,在启用调试时会被触发,引发日志记录语句记录在错误的连接上,最终由于并发日志池使用引发内存破坏。

CVE-2020-9490

CVE-2020-9490漏洞位于HTTP/2 模块,也是这3个漏洞中最严重的漏洞。攻击者可以通过构造Cache-Digest header来引发内存破坏,最终导致奔溃或DoS 攻击。

Cache Digest 是现在已经不在使用的web优化特征,通过允许服务器预先发送响应给客户端,客户端可以告知服务器其最新的缓存内容,这样就不会发送客户端缓存中已有的资源避免浪费带宽。

因此当在HTTP/2 请求的Cache-Digest header中注入伪造的值时,当服务器用该header 发送PUSH 包时,就会引发奔溃。

补丁

目前还没有发现这些漏洞的在野利用,但研究人员建议运行apache web服务器的用户尽快更新到最新的2.4.46 版本,以避免攻击者获得服务器的控制权限。

本文翻译自:https://thehackernews.com/2020/08/apache-webserver-security.html
水坑攻击的原理和预防措施

“水坑攻击(Watering hole))”是攻击者常见的攻击方式之一,顾名思义,是在受害者必经之路设置了一个“水坑(陷阱)”。最常见的做法是,攻击者分析攻击目标的上网活动规律,寻找攻击目标经常访问的网站的弱点,先将此网站“攻破”并植入攻击代码,一旦攻击目标访问该网站就会“中招”。 本文我们将介绍水坑攻击的原理并结合一些真实的示例来说明攻击过程,以及对应的缓解措施。 什么是水坑攻击? 水坑攻击属于APT攻击的一种,与钓鱼攻击相比,攻击者无需耗费精力制作钓鱼网站,而是利用合法网站的弱点,隐蔽性比较强。在人们安全意识不断加强的今天,攻击者处心积虑地制作钓鱼网站却被有心人轻易识破,而水坑攻击则利用了被攻击者对网站的信任。水坑攻击利用网站的弱点在其中植入攻击代码,攻击代码利用浏览器的缺

网友评论