Vulnérabilités dans Apache Server
Date de publication :
De multiples vulnérabilités ont été découvertes dans Apache Server. Elles peuvent permettre à un attaquant de provoquer une exécution de code arbitraire ou un déni de service.
CVE-2020-11984 [Score CVSS v3 : 9.8] : Une vulnérabilité de type “débordement de tampon” a été découverte dans le module mod_proxy_uwsgi d’Apache. Elle peut permettre à un attaquant distant d’obtenir des informations et éventuellement de provoquer une exécution de code arbitraire.
CVE-2020-9490 [Score CVSS v3 : 7.5] : Une vulnérabilité dans l’implémentation de HTTP/2 a été découverte dans Apache. Celle-ci ne peut pas traiter correctement certains en-têtes Cache-Digest ce qui peut permettre à un attaquant distant de provoquer un déni de service.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Exécution de code arbitraire
- Déni de service
Criticité
- Score CVSS v3 : 9.8 au maximum
Existence d’un code d’exploitation
- Aucun code d’exploitation n’est disponible
Composants vulnérables
- Apache Server versions 2.4.20 à 2.4.46 (non inclus)
CVE
- CVE-2020-9490
- CVE-2020-11984
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour Apache Server vers une version non vulnérable (2.4.46 ou supérieure)
Solution de contournement
Aucune solution de contournement