Nowe podatności w Apache HTTP Server. W tym jedna krytyczna.

utworzone przez | sie 25, 2020 | Aktualizacje

ProduktApache HTTP Server wersja 2.4.20 do 2.4.43
Numer CVECVE-2020-9490
Krytyczność7.5/10
CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
OpisSpecjalnie spreparowana wartość nagłówka „Cache-Digest” w żądaniu HTTP / 2 powoduje awarię, gdy serwer faktycznie próbuje później HTTP / 2 PUSH. Skonfigurowanie funkcji HTTP / 2 przez „H2Push off” złagodzi tę lukę w przypadku niezałatanych serwerów.
Linkhttps://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-9490
  
ProduktApache HTTP server 2.4.32 do 2.4.44
Numer CVECVE-2020-11984
Krytyczność9.8/10
CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
OpisWykorzystanie możliwej podatności na zdalne wykonanie kodu z powodu przepełnienia bufora z modułem „mod_uwsgi” co potencjalnie umożliwia przeciwnikowi przeglądanie, zmianę lub usuwanie poufnych danych w zależności od związanych z nimi uprawnień z aplikacją działającą na serwerze.
Linkhttps://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11984
  
ProduktApache HTTP Server wersja 2.4.20 do 2.4.43
Numer CVECVE-2020-11993
Krytyczność7.5/10
CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
OpisWłączeniu debugowania w module „ mod_http2, powoduje, że instrukcje rejestrowania są wykonywane na niewłaściwym połączeniu, a tym samym powodują uszkodzenie pamięci z powodu współbieżnego użycia puli dzienników.
Linkhttps://nvd.nist.gov/vuln/detail/CVE-2020-11993