Multiples vulnérabilités dans Apache Server
Date de publication :
De multiples vulnérabilités ont été découvertes dans Apache Server. Elles pourraient permettre à un attaquant de provoquer un déni de service à distance et/ou une atteinte à la confidentialité des données.
CVE-2020-11993 [Score CVSS v3 : 7.5] : Lorsque la fonctionnalité de traçage/débogage est activée sur le module HTTP/2, la journalisation est effectuée sur la mauvaise connexion, ce qui peut entraîner un déni de service. La configuration du niveau de journalisation du module mod_http2 au-dessus de "info" atténuera l’impact de cette vulnérabilité pour les serveurs non patchés.
CVE-2020-11994[Score CVSS v3 : 7.5 ] : Une injection de modèles du côté du serveur peut permettre une potentielle divulgation arbitraire de fichiers sur les composants des modèles Camel. Un attaquant peut alors porter atteinte à la confidentialité des données.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Déni de service à distance
- Atteinte à la confidentialité des données
Criticité
- Score CVSS v3 : 7.5
Existence d’un code d’exploitation
- Aucun code d’exécution n’est disponible publiquement à ce jour
Composants vulnérables
- Apache Server versions antérieures à 2.4.46
CVE
- CVE-2020-11993
- CVE-2020-11994
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mise à jour vers la version 2.4.46
Solution de contournement
Aucune solution de contournement n’est disponible