Apache服务多个安全漏洞风险通告

作者：

发布时间：2020-08-26

近日，腾讯云安全运营中心监测到，Google Project Zero 团队近期披露了 Apache 服务存在三个安全漏洞，漏洞编号分别为：CVE-2020-9490、CVE-2020-11984 和 CVE-2020-11993，漏洞被利用可导致 DoS 或任意代码执行。

为避免您的业务受影响，腾讯云安全建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。

漏洞详情

CVE-2020-11984：该漏洞为缓冲区溢出漏洞，影响 mod uwsgi 模块，漏洞被利用可导致远程代码执行。该漏洞风险较高，CVSS 评分 9.8 分。

CVE-2020-9490：该漏洞为 HTTP/2 中的 DoS 漏洞，攻击者可以通过发送特殊构造的缓存摘要头，导致 Web 应用 DoS。

CVE-2020-11993：该漏洞只有在 mod_http2 模块中启用调试时才能利用，漏洞被利用可能导致 DoS。

风险等级

中风险

漏洞风险

漏洞被利用可导致 DoS 或任意代码执行。

影响版本

CVE-2020-9490：

Apache HTTP Server 2.4.43、2.4.39、2.4.38、2.4.37、2.4.35、2.4.34、2.4.33、2.4.30、2.4.29、2.4.28、2.4.27、2.4.26、2.4.25、2.4.23、2.4.20

CVE-2020-11984：

Apache HTTP Server 2.4.39、2.4.38、2.4.37、2.4.35、2.4.34、2.4.33

CVE-2020-11993：

Apache HTTP Server 2.4.43、2.4.39、2.4.38、2.4.37、2.4.35、2.4.34、2.4.33、2.4.30、2.4.29、2.4.28、2.4.27、2.4.26、2.4.25、2.4.23、2.4.20

安全版本

Apache httpd 2.4.44 或更高版本

修复建议

1）官方已发布漏洞修复版本，检查您的 Apache 服务是否在受影响版本范围。下载链接：https://httpd.apache.org/download.cgi

2）如受影响，请你选择合理时间进行升级操作，升级到修复版本，避免影响业务。

漏洞参考

标签：

最新资讯: 企业级网络防火墙可以防护哪些方面?; 企业网络等保测评必须要做吗-企业网络等保测评的必要性分析; 云安全环境加固需要哪些措施？; 网络安全隔离设备有哪些; 网站被挂马怎么解决; web应用防火墙怎么部署?; 网络安全审计系统有哪些功能?多少钱?; 服务器卡顿动不了怎么解决; 网站中木马被反复篡改的彻底修复方法; 服务器被篡改登录不上怎么办？