Critical Flaws in Apache Web Server Software Reported by Google Researchers

Recommendation: install the latest available version of the Apache HTTP server

26/08/2020
CVE
חשיבות
מושפעים מרכזיים
Apache HTTP server Version 2.4.32 to 2.4.44

המלצה:

התקנה מיידית של גרסת Apache HTTP Server המעודכנת ביותר, לצורך עדכון החולשות המוזכרות להלן.

לחץ כאן למעבר ללינק הורדת הגרסה העדכנית ביותר.

מידע על החולשה:

בתאריך 24.08.2020 פורסמו 3 חולשות בדרגת CVSS גבוהות לעדכון מידי, אשר משפיעות באופן ישיר על שרתי Apache בגרסאות 2.4.32-2.4.44.

החולשה הראשונה מאפשרת לתוקף להריץ קוד מרוחק על שרתי Apache תוך ניצול חולשה במודול ה "mod_uwsgi" (CVE-2020-11984). על ידי ניצול חולשה זו, התוקף מאופשר לעיתים לשנות מידע רגיש באפליקציות הרצות על השרת ובכך לגרום לשיבוש מידע ואף לגניבתו.
החולשה השניה נגרמת בזמן שבו מצב דיבאג (Debugging Mode) ו/או מצב מעקב (Trace Mode) מאופשרים במודול ה "mod_http2" (CVE-2020-11993). על ידי ניצול החולשה במנגנון הDebugging והTracing, ניתן להקריס מערכות שרצות על גבי שרתי הApache, בכך שנעשה שימוש בתאי זיכרון משותפים עבור מספר מרובה של משאבים – דבר אשר יכול לקריסת המערכת כולה.
החולשה שלישית, והקריטית ביותר היא (גם כן במודול ה- "mod_http2"). בעזרת ניצול מנגנון ה Cache Digest, אשר מטרתו העיקרית הינה לצמצם תעבורת מידע מוכרת בין שרת ללקוח. בעוד שהשרת שולח תגובות מראש אל הלקוח, עוד לפני שהלקוח שלח את הבקשות, כמות הTraffic שעובר ברשת מצטמצמת משמעותית.
החולשה הנוכחית, פוגעת בזיכרון הCache Digest בכך שגורמת להשחתת תאי זיכרון אשר אוגרים את הנתונים המיועדים למעבר בין השרת ללקוח (אותם הנתונים הנשלחים בPush אל הלקוח, עוד לפני שביקש אותם). כפי שניתן להסיק, בעת שמתבצעת השחתה של הנתונים הנשמרים בזיכרון, קיים חשש לקריסת המערכת ואף להגעה למצב שבו לא מאופשר לשרת להמשיך לתת שירות ללקוחות (Denial of Service).

מקור פרסום החולשה:

The Hacker News
נכתב ע״י Shlomi Halif

Security Engineer

פוסטים נוספים

30/11/2020
VMware Vulnerabilities

חברת VMware הינה בין חברות הוירטואליזציה הגדולות בעולם. בתקופה האחרונה אנו למדים על חולשות רבות במוצריה השונים בעלי חומרה קריטית אחר יכולות לפגוע בארגון, בפעילות העסקית שלו ואף באמינותו. חברת VMware שיחררה פתרונות "יצירתיים"
ו-Patches מתאימים לצורך מיגור החולשות.
במאמר זה נתרכז בשני CVEs שונים אשר מהווים חולשות קריטיות שפורסמו בחודש האחרון.

17/11/2020
Microsoft November 2020 - fix for Windows zero-day

מיקרוסופט הפיצה השבוע את העדכון אבטחה החודשי CVE-2020-17807 אשר נועד לתקן פרצות אבטחה אשר נתגלו מאז העדכונים האחרונים.

חלק מפרצות האבטחה נתגלו ע"י חוקרי גוגל מפרויקט Zero-Days Google וחלקם מקושרות לפוגעניות אשר היו קיימות בדפדפן כרום ובמקביל במערכות הפעלה Windows OS הן למחשבים והן לשרתים.

09/11/2020
Security Default Feature

עוברים לשימוש בשירותיAzure AD כספק הזהויות בענן?
הוסיפו הגדרות Security Defaults כבסיס אבטחתי ראשוני לפני הוספת שאר יכולות האבטחה ב- Azure!

מנף את העסק שלך בזמן שאתה מגן על הדברים החשובים

בוא נדבר על מערך האבטחה שלך
הירשם לניוזלטר
נשלח לך מייל שבועי שיעזור לך לשפר רמת האבטחה שלך, ומדי פעם גם קצת תקשורת שיווקית, בהתאם למדיניות הפרטיות שלנו.
lockplusunlockunlock-altcopyrightcross linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram