Multiples vulnérabilités dans le serveur web Apache

De multiples vulnérabilités ont été découvertes dans le serveur web Apache. L’exploitation de ces vulnérabilités pourrait permettre la divulgation d'informations sensibles, l'ajout ou la modification de données ou encore un déni de service.

CVE-2020-11984[Score CVSS v3 : 9.8 ] : Une vulnérabilité de type dépassement de tampon (Buffer overflow) est présente dans le module mod_proxy_uwsgi d’Apache, l’exploitation de cette vulnérabilité peut avoir pour conséquence la divulgation d’informations et l’exécution du code arbitraire à distance. 

CVE-2020-9490 [Score CVSS v3 : 7.5] : Une valeur spécialement conçue pour l'en-tête "Cache-Digest" d'une requête HTTP/2 entraînerait un plantage lorsque le serveur tenterait ensuite de pousser une ressource par HTTP/2. La configuration de la fonction HTTP/2 via "H2Push off" atténuera cette vulnérabilité pour les serveurs non corrigés.

CVE-2020-11993[Score CVSS v3 : 7.5 ] : Lorsque la fonction trace/débogage est activée pour le module HTTP/2 d’Apache, certaines instructions de journalisation sont mal gérées et entraînent l'utilisation simultanée de pools de mémoire. Un attaquant distant pourrait utiliser ce problème pour faire planter Apache et provoquer un déni de service.La configuration du niveau de journalisation du module mod_http2 au-dessus de "info" atténuera cette vulnérabilité pour les serveurs non corrigés.