Felix Wilhelm från Google Project Zero har identifierat tre sårbarheter i webbservern Apache. Apache är den nästa populära webbservern på internet efter Nginx.

Säkerhetsbuggarna är enligt följande:

• important: Push Diary Crash on Specifically Crafted HTTP/2 Header (CVE-2020-9490)
• moderate: mod_proxy_uwsgi buffer overflow (CVE-2020-11984)
• moderate: Push Diary Crash on Specifically Crafted HTTP/2 Header (CVE-2020-11993)

Den allvarligaste av dessa tre och har allvarlighetsgrad important kan mitigeras genom att sätta H2Push off i konfigg-filen för Apache. Rekommenderat är även att uppgradera till version 2.4.44 av Apache som åtgärdar dessa brister.

För mer information gällande CVE-2020-9490 kan du även se följande länk: https://bugs.chromium.org/p/project-zero/issues/detail?id=2030

Tweet från @_fel1x:

Apache 2.4.46 has fixes for three vulnerabilities I reported (https://t.co/8yW2PIBv9G) The http2 push diary bug is the most interesting one: Depending on your distris mod_http2 version it is either a wild memmove or a controlled OOB write (https://t.co/JEQ6jwLTwO)

— Felix Wilhelm (@_fel1x) August 24, 2020