Разработчики Apache Foundation исправили три опасные уязвимости (CVE-2020-9490, CVE-2020-11984 и CVE-2020-11993) в составе веб-сервера Apache, выпустив обновленную версию 2.4.46. Уязвимости были обнаружены экспертом Google Project Zero Феликсом Вильгельмом (Felix Wilhelm) и могли повлечь за собой выполнение произвольного кода, сбой или отказ в обслуживании.
Первая из трех проблем связана с переполнением буфера в модуле mod_uwsgi (CVE-2020-11984), что позволяет злоумышленнику добиться исполнения произвольного кода, просматривать, изменять или удалять конфиденциальные данные (в зависимости от привилегий запущенного на сервере приложения).
Второй недостаток (CVE-2020-11993) срабатывает при включении отладки в модуле mod_http2, а третья уязвимость (CVE-2020-9490) является самой серьезной из всех и связана с модулем HTTP/2. Этот баг использует специальный хэдер Cache-Digest, чтобы спровоцировать нарушение целостности информации в памяти, и в итоге приводит к отказу в обслуживании.
Хотя в настоящее время нет никаких данных о том, чтобы эти уязвимости уже используются хакерами, разработчики Apache настоятельно рекомендуют как можно скорее установить патчи.