Phát hiện 3 lỗ hổng bảo mật trên phần mềm máy chủ web Apache

Nếu máy chủ web của bạn đang chạy trên Apache, thì bạn nên nhanh chóng cập nhật ngay phiên bản mới nhất của ứng dụng này để ngăn tin tặc chiếm quyền kiểm soát trái phép hệ thống và thực hiện những hành vi độc hại.



Gần đây, Apache đã phải tung bản vá cho nhiều lỗ hổng trong phần mềm máy chủ web của mình. Những lỗ hổng này có thể dẫn đến các cuộc tấn công thực thi mã tùy ý, thậm chí trong một số trường hợp, nó còn có thể cho phép kẻ tấn công đánh sập hệ thống và thực hiện tấn công từ chối dịch vụ.



Các lỗ hổng này được theo dõi với số hiệu CVE-2020-9490, CVE-2020-11984, CVE-2020-11993, và đã được phát hiện bởi chuyên gia bảo mật Felix Wilhelm thuộc Google Project Zero. Apache Foundation sau đó đã nhanh chóng tung ra một bản cập nhật mới ( 2.4.46 ) để khắc phục vấn đề.



Lỗ hổng đầu tiên là lỗ hổng thực thi mã từ xa, xuất hiện do một lỗi tràn bộ nhớ đệm với mô-đun “mod_uwsgi” ( CVE-2020-11984 ). Nếu bị khai thác, nó có thể cho phép kẻ tấn công xem, thay đổi hoặc xóa các dữ liệu nhạy cảm tùy thuộc vào các đặc quyền mà ứng dụng đang chạy trên máy chủ cấp cho nó.



“Nếu máy chủ chạy trong một môi trường độc hại, thì một request độc hại cũng có thể dẫn đến rò rỉ thông tin hoặc cho phép kẻ tấn công thực thi mã từ xa các file hiện có,” Apache cho biết .



Lỗ hổng thứ hai xuất hiện khi chế độ debugging được kích hoạt trong mô-đun “ mod_http2 ” ( CVE-2020-11993 ), khiến các câu lệnh logging bị thực hiện trên các kết nối sai, từ đó dẫn đến lỗi gián đoạn bộ nhớ (memory corruption) do sử dụng vùng log đồng thời (concurrent log pool).



CVE-2020-9490 , được đánh giá lỗi nghiêm trọng nhất trong số ba lỗ hổng, cũng nằm trong mô-đun HTTP/2 và sử dụng một tiêu đề ‘Cache-Digest’ được tạo đặc biệt để gây ra một lỗi gián đoạn bộ nhớ dẫn đến sập hệ thống và gây ra tấn công từ chối dịch vụ.



Cache Digest là một phần của tính năng tối ưu hóa web hiện đã bị hủy bỏ. Nó được thiết kế nhằm khắc phục một vấn đề của các server push bằng cách cho phép máy khách thông báo cho máy chủ về các nội dung mới được lưu trữ trong bộ nhớ đệm (cache) để không lãng phí băng thông khi phải gửi những tài nguyên có sẵn trong bộ nhớ đệm của máy khách. Server push (hay đẩy máy chủ) là một tính năng cho phép máy chủ gửi trước phản hồi cho máy khách. 



Do đó, khi một giá trị chế tạo đặc biệt được đưa vào tiêu đề ‘Cache-Digest’, trong một HTTP/2 request, nó sẽ gây sập hệ thống khi máy chủ gửi một PUSH packet sử dụng tiêu đề này. Với các máy chủ chưa được vá, lỗ hổng này có thể được khắc phục bằng cách tắt tính năng HTTP/2 server push.



Mặc dù cho tới hiện tại chưa có báo cáo nào cho thấy những lỗ hổng này bị khai thác trên thực tế. Tuy nhiên, các bản vá bảo mật vẫn cần được nhanh chóng áp dụng cho các hệ thống bị ảnh hưởng, ngay sau khi hoàn tất việc kiểm tra tính tương thích, cũng như đảm bảo rằng ứng dụng được định cấu hình với duy nhất các đặc quyền cần thiết để giảm thiểu tối đa các tác động của lỗ hổng.



>> Quét lỗ hổng bảo mật website & máy chủ miễn phí: scan.cystack.net



Theo The Hacker News
The post Phát hiện 3 lỗ hổng bảo mật trên phần mềm máy chủ web Apache appeared first on SecurityDaily .