چند آسیب‌پذیری امنیتی در وب سرور آپاچی برطرف شد

کمیته رکن چهارم – سه ‫آسیب‌پذیری در وب‌سرور آپاچی توسط محقق امنیتی Google Project Zero کشف شد که دو مورد از آنها با شدت بالا و یک مورد با شدت بحرانی است.

سه ‫آسیب‌پذیری با شناسه‌های CVE-۲۰۲۰-۹۴۹۰ ،CVE-۲۰۲۰-۱۱۹۸۴ و CVE-۲۰۲۰-۱۱۹۹۳ در وب‌سرور آپاچی توسط Felix Wilhelm محقق امنیتی Google Project Zero کشف شد که دو مورد از آنها دارای شدت بالا (Base Score ۷.۵) و یک مورد نیز دارای شدت بحرانی (Base Score ۹.۸) است. در ادامه به بررسی هریک از این آسیب‌پذیری‌ها پرداخته خواهد شد.

CVE-۲۰۲۰-۹۴۹۰: به گفته Felix Wilhelm، ماژول Apache’s mod_http۲، از ویژگی خاصی پشتیبانی می‌کند که کلیه منابعی که پیش‌تر بر روی یک اتصال HTTP/۲ منتقل شده‌اند را نگه می‌دارد؛ همچنین کلاینت می‌تواند با ارسال این ویژگی رمزگذاری‌شده بر مبنای base۶۴ در Cache-Digest header، از نگهداری غیرضروری منابع جلوگیری کند که از بین آسیب‌پذیری‌های مذکور، این آسیب‌پذیری با شدت بحرانی در ماژول HTTP/۲ وجود دارد. این نقص تحت شرایط خاص، از طریق اجرای کد از راه دور یا حمله انکار سرویس مورد بهره‌برداری امنیتی قرار خواهد گرفت؛ گفتنی است که مهاجم می‌تواند با استفاده از Cache-Digest header دستکاری شده، باعث Crash در حافظه و انجام حمله انکار سرویس شود.

CVE-۲۰۲۰-۱۱۹۸۴: آسیب‌پذیری با شدت بالا یک نقص مربوط به سرریز بافر است که بر ماژول “mod_uwsgi” تأثیر گذاشته و می‌تواند منجر به اجرای کد از راه دور شود؛ این نقص به طور بالقوه به یک مهاجم اجازه می‌دهد داده‌های حساس را بسته به امتیازات مرتبط با یک برنامه در حال اجرا بر روی سرور، مشاهده، حذف و یا آن‌ها را تغییر دهد.

CVE-۲۰۲۰-۱۱۹۹۳: این آسیب‌پذیری تنها هنگامی که debugging در ماژول “mod_http۲” فعال است، قابل بهره‌برداری می‌باشد. این آسیب‌پذیری منجر خواهد شد تا اطلاعات ورود بر روی یک کانکشن اشتباه ایجاد و منجر به تخریب حافظه شود.

اگر چه تاکنون گزارشی در خصوص بهره‌برداری از این آسیب‌پذیری‌ها منتشر نشده است، اما توصیه می‌شود کاربرانی که سایت‌هایشان از طریق وب‌سرور آپاچی اجرا می‌شود، هرچه سریع‌تر وب‌سرور خود را به نسخه ۲.۴.۴۶ به‌روزرسانی کنند تا از گزند این سه آسیب‌پذیری ‌در امان باشند؛ همچنین لازم است بررسی شود اپلیکشن، فقط با مجوزهای مورد نیاز، پیکربندی شده است تا احتمال خطر کاهش یابد

منبع: مرکز ماهر

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *


Type The Green Captcha Characters Below.