چاپ        ارسال به دوست

رفع سه نقص امنیتی در وب سرور آپاچی

سه ‫آسیب‌پذیری با شناسه‌های "CVE-۲۰۲۰-۹۴۹۰"، "CVE-۲۰۲۰-۱۱۹۸۴" و "CVE-۲۰۲۰-۱۱۹۹۳"، در وب‌سرور آپاچی توسط Felix Wilhelm محقق امنیتی Google Project Zero کشف شد که دو مورد از آن‌ها دارای شدت بالا(Base Score ۷.۵) و یک مورد نیز دارای شدت بحرانی (Base Score ۹.۸) می‌باشد. در ادامه به بررسی هر یک از این آسیب‌پذیری‌ها پرداخته خواهد شد.

- CVE-۲۰۲۰-۹۴۹۰: به گفته Felix Wilhelm، ماژول Apache’s mod_http۲، از ویژگی خاصی پشتیبانی می‌کند که کلیه منابعی که پیش‌تر بر روی یک اتصال HTTP/۲منتقل شده‌اند را نگه می‌دارد؛ همچنین کلاینت می‌تواند با ارسال این ویژگی رمزگذاری‌شده بر مبنای base۶۴ در Cache-Digest header، از نگهداری غیرضروری منابع جلوگیری کند که از بین آسیب‌پذیری‌های مذکور، این آسیب‌پذیری با شدت بحرانی در ماژول HTTP/۲ وجود دارد. این نقص تحت شرایط خاص، از طریق اجرای کد از راه دور یا حمله انکار سرویس مورد بهره‌برداری امنیتی قرار خواهد گرفت؛ گفتنی است که مهاجم می‌تواند با استفاده از Cache-Digest header دستکاری شده، باعث Crash در حافظه و انجام حمله انکار سرویس شود.

- CVE-۲۰۲۰-۱۱۹۸۴: آسیب‌پذیری با شدت بالا یک نقص مربوط به سرریز بافر است که بر ماژول "mod_uwsgi" تأثیر گذاشته و می‌تواند منجر به اجرای کد از راه دور شود؛ این نقص به طور بالقوه به یک مهاجم اجازه می‌دهد داده‌های حساس را بسته به امتیازات مرتبط با یک برنامه در حال اجرا بر روی سرور، مشاهده، حذف و یا آن‌ها را تغییر دهد.

- CVE-۲۰۲۰-۱۱۹۹۳: این آسیب‌پذیری تنها هنگامی که debugging در ماژول “mod_http۲” فعال است، قابل بهره‌برداری می‌باشد. این آسیب‌پذیری منجر خواهد شد تا اطلاعات ورود بر روی یک کانکشن اشتباه ایجاد و منجر به تخریب حافظه شود.

اگر چه تاکنون گزارشی در خصوص بهره‌برداری از این آسیب‌پذیری‌ها منتشر نشده است، اما توصیه می‌شود کاربرانی که سایت‌هایشان از طریق وب‌سرور آپاچی اجرا می‌شود، هر چه سریع‌تر وب‌سرور خود را به نسخه ۲.۴.۴۶ بروزرسانی کنند تا از گزند این سه آسیب‌پذیری ‌در امان باشند؛ همچنین لازم است بررسی شود اپلیکشن، فقط با مجوزهای مورد نیاز، پیکربندی شده است تا احتمال خطر کاهش یابد.

منبع:https://cert.ir/news/13103


 دسته‌ها: آسیب‌پذیری‌ها 


١٢:٠٠ - چهارشنبه ١٢ شهريور ١٣٩٩    /    شماره : ٢٦٤٢٥    /    تعداد نمایش : ٢١٤



خروج