Ba lỗ hổng trong phần mềm máy chủ web của Apache

Hạnh Tâm| 28/08/2020 09:36
Theo dõi ICTVietnam trên

Nếu máy chủ web của bạn chạy chương trình Apache hãy cài đặt ngay phiên bản mới nhất của ứng dụng này để ngăn chặn tin tặc chiếm quyền kiểm soát máy chủ.

Gần đây, Apache đã xử lý nhiều lỗ hổng trong phần mềm máy chủ web của mình. Những lỗ hồng này đều có khả năng dẫn đến thực thi mã tùy ý và trong nhiều trường hợp còn có thể cho phép các tin tặc phá hỏng máy chủ và gây từ chối dịch vụ.

Ba lỗ hổng trong phần mềm máy chủ web của Apache - Ảnh 1.

Các lỗ hổng là CVE-2020-9490, CVE-2020-11984, CVE-2020-11993 được nhà nghiên cứu Felix Wilhelm tham gia dự án Google Project Zero phát hiện và kể từ đó đã được Apache Foundation xử lý trong phiên bản mới nhất của phần mềm là 2.4.4.6.

Lỗi đầu tiên là lỗ hổng CVE-2020-11984, có thể gây ra thực thi mã từ xa do tràn bộ đệm trong module "mod_uwsgi". Lỗ hổng có khả năng cho phép kẻ tấn công xem, thay đổi hoặc xóa dữ liệu nhạy cảm theo những đặc quyền liên quan tới một ứng dụng đang chạy trên máy chủ.

Lỗi thứ 2 là CVE-2020-11993, được kích hoạt khi thực hiện gỡ lỗi trong module "mod_http2". Đây là nguyên nhân khiến cho các câu lệnh đang đăng nhập kết nối sai, gây hỏng bộ nhớ do sự đăng nhập nhật ký đồng thời.

Lỗ hổng thứ 3 là CVE-2020-9490, lỗ hổng có nhiều nguy cơ nhất trong 3 lỗ hổng, cũng nằm trong module HTTP/2 và sử dụng tiêu đề "Cache-Digest" (một tính năng trong máy chủ web) được tạo ra một cách đặc biệt gây hư hỏng bộ nhớ dẫn đến sự cố và từ chối dịch vụ.

Cache Digest là một phần của của tính năng tối ưu hóa web hiện đã bị hủy bỏ để giải quyết một vấn đề về các tính năng server push (những tính năng cho phép máy chủ gửi trước những phản hồi cho máy khách) bằng cách cho phép các máy khách thông báo cho máy chủ những nội dung mới được lưu trong bộ nhớ cache để băng thông không bị lãng phí trong việc gửi các tài nguyên đó trong bộ nhớ cache của máy khách.

Do đó, khi một giá trị đặc biệt được cấy vào tiêu đề "Cache-Digest" trong một yêu cầu HTTP/2, sẽ gây ra sự cố khi máy chủ gửi gói PUSH sử dụng tiêu đề này. Trên các máy chủ đã được vá, sự cố này có thể được xử lý bằng cách tắt tính năng server push trên máy chủ HTTP/2.

Mặc dù hiện chưa có báo cáo nào về việc khai thác các lỗ hổng này trong thực tế, nhưng các chuyên gia khuyến cáo cần nhanh chóng cập nhật bản vá cho các hệ thống bị ảnh hưởng bởi các lỗ hổng ngay trên để giảm thiểu nguy cơ bị tấn công.

Nổi bật Tạp chí Thông tin & Truyền thông
  • Bưu điện Việt Nam đảm bảo không gián đoạn dịch vụ khi thay đổi địa giới hành chính
    Bưu điện Việt Nam đã chủ động triển khai hàng loạt giải pháp đồng bộ để đảm bảo dịch vụ không gián đoạn, người dân không bị ảnh hưởng và không phát sinh thêm chi phí trong bối cảnh thay đổi địa giới hành chính từ ngày 1/7/2025.
  • AI có thể giúp giảm thiểu khoảng 70 tỷ USD chi phí tổn thất thiên tai trực tiếp
    Trí tuệ nhân tạo (AI) có thể giúp giảm thiểu khoảng 70 tỷ USD chi phí tổn thất thiên tai trực tiếp hàng năm đến năm 2050. Điều này đã được Deloitte Toàn cầu đưa ra trong báo cáo mới đây.
  • AI lõi "Make in Viet Nam" được xếp hạng Top 12 thế giới
    Trong bối cảnh chuyển đổi số, chuyển đổi AI tại Việt Nam đang diễn ra, công nghệ OCR (Nhận dạng ký tự quang học) ngày càng giữ vai trò quan trọng trong việc số hóa tài liệu, tự động hóa quy trình nghiệp vụ, tiết kiệm chi phí và nâng cao hiệu quả quản trị.
  • Làm sao để tăng hiệu quả bảo mật môi trường đa đám mây?
    Khi cuộc tranh luận về việc nên triển khai hệ thống máy chủ tại chỗ hay trên đám mây đã dần lắng xuống, doanh nghiệp (DN) giờ đây lại phải đối mặt với một bài toán khác khó khăn hơn: làm thế nào để bảo mật hiệu quả môi trường đa đám mây (multicloud)?
  • Cỗ máy gia tốc từ Nghị quyết 57: Một bài học sống động
    Sau nửa năm triển khai Nghị quyết 57-NQ/TW của Bộ Chính trị (2/1/2025 – 29/6/2025), CT Group đã tổ chức Lễ Sơ kết 6 tháng triển khai Nghị quyết 57-NQ/TW với hàng loạt sản phẩm hoàn thiện rất phong phú từ Khoa học, Công nghệ, Chuyển đổi số đến Đổi mới sáng tạo. Thành tựu đạt được chính là minh chứng sống động cho khát vọng làm chủ công nghệ lõi, tạo lực đẩy đột phá và nâng cao năng lực cạnh tranh, cùng vị thế quốc gia trên tiến trình hội nhập, vì một Việt Nam hùng cường.
Đừng bỏ lỡ
Ba lỗ hổng trong phần mềm máy chủ web của Apache
POWERED BY ONECMS - A PRODUCT OF NEKO