Domov      Nastavenia 
RSS English Slovensky

Zahraničné zdroje
Nahlásené incidenty
1.1.2019 - 31.12.2019
 

Graf

Expert z Google Project Zero odhalil 3 zraniteľnosti Apache Web Server

09.09.2020
Felix Wilhelm z Google Project Zero objavil viacero zraniteľností na webovom serveri Apache. Spoločnosť Apache Foundation vydala záplatu adresovanú týmto zraniteľnostiam, ktoré by mohol potenciálny útočník za určitých podmienok zneužiť na vykonanie ľubovoľného kódu, alebo zapríčinenie nedostupnosti služby (DoS) zlyhaním servera.

 

Dôsledky

  • Vzdialené vykonávanie kódu zo súborov existujúcich na serveri
  • Možnosť zobrazovať, meniť a mazať citlivé údaje
  • Vyvolanie nedostupnosti služby

Opis činnosti
CVE-2020-9490, CVE-2020-11984, CVE-2020-11993

CVE-2020-11984 (CVSS 9.8)

Kritická zraniteľnosť pretečenia vyrovnávacej pamäte sa nachádza v module „mod_proxy_uwsgi“, kde pri zápise dochádza ku nesprávnemu overeniu zadaného reťazca. To následne vedie k jej pretečeniu. Táto zraniteľnosť umožňuje útočníkovi vzdialene vykonať kód z už existujúcich súborov, zobraziť, zmeniť alebo odstrániť citlivé údaje z aplikácie spustenej na serveri. Rozsah kompromitácie sa môže líšiť na základe oprávnení, aké má aplikácia pridelené.

CVE-2020-11993 (CVSS 7.5)

Táto závažná zraniteľnosť existuje, pokiaľ je v module „mod_http2“ povolené sledovanie / ladenie. Chyba je priradená do kategórie CWE-444: Pokiaľ sú chybné, alebo neobvyklé http požiadavky interpretované jednou, alebo viacerými entitami v toku údajov medzi používateľom a serverom ako napríklad proxy server, alebo firewall, sú tieto požiadavky nesprávne vyhodnotené a môžu byť „prepašované“ do zraniteľného zariadenia. Tam môže neočakávané zaťaženie pamäte spôsobiť nedostupnosť služby. Nastavenie hodnoty LogLevel mod_http2 nad „informáciou“ zmierni túto chybu na ešte neaktualizovaných systémoch.

CVE-2020-9490 (CVSS 7.5)

Špeciálne vytvorená hodnota pre hlavičku „Cache-Digest“ v module HTTP/2 požiadavke, pri pokuse servera o odoslanie paketu HTTP/2 Push, má za následok poškodenie pamäte, čo vedie ku zlyhaniu a nedostupnosti služby. Aj napriek nižšiemu CVSS hodnoteniu je táto chyba najzávažnejšia zo spomínaných zraniteľností. Vypnutie funkcie HTTP/2 Push zmierni túto chybu na ešte neaktualizovaných systémoch.

Zraniteľné systémy
Apache web server 2.4.43 a staršie

Závažnosť zraniteľnosti
Vysoká

Možné škody
Únik informácií
Narušenie dostupnosti systému (Dos)
Vzdialené vykonávanie kódu

Odporúčania

  • Bezodkladne aktualizovať systém na verziu obsahujúcu záplatu.
  • Pre zmiernenie dopadu útoku spúšťať všetky služby, ako používateľ s nižšími oprávneniami.
  • Pre zmiernenie dopadu útoku nakonfigurovať systém tak, ako to navrhuje spoločnosť Apache.
  • Nastaviť hodnotu LogLevel mod_http2 nad „informáciou“, pre zmiernie dopadu chyby na ešte neaktualizovaných systemoch (CVE-2020-11993)
  • Vypnúť funkciu HTTP/2 Push (s použitím vlastnosti „H2Push off“), pre zmiernenie dopadu chyby na ešte neaktualizovaných systémoch (CVE-2020-9490)

Odkazy
https://thehackernews.com/2020/08/apache-webserver-security.html
https://www.cisecurity.org/advisory/multiple-vulnerabilities-in-apache-web-server-could-allow-for-remote-code-execution_2020-108/
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11984
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11993
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-9490
https://cwe.mitre.org<< zoznam oznámení