Apache baru-baru ini memperbaiki beberapa kerentanan dalam perangkat lunak server webnya yang berpotensi menyebabkan eksekusi kode arbitrer dan dalam skenario tertentu, bahkan dapat menyebabkan crash juga denial of service.
Kerentanan dilacak sebagai CVE-2020-9490, CVE-2020-11984, CVE-2020-11993, ditemukan oleh Felix Wilhelm dari Google Project Zero, dan sudah diperbaiki oleh Apache Foundation dalam rilisan versi 2.4.46.
Yang pertama dari tiga masalah keamanan memungkinkan remote code execution karena buffer overflow dengan modul “mod_uwsgi” (CVE-2020-11984), berpotensi memungkinkan penyerang untuk melihat, mengubah, atau menghapus data sensitif tergantung pada hak istimewa terkait dari aplikasi yang berjalan di server.
“Permintaan berbahaya dapat mengakibatkan information disclosure atau [remote code execution] dari file yang ada di server yang berjalan di bawah lingkungan proses berbahaya,” kata Apache.
Baca Juga: “Kerentanan Kritis Ditemukan Dalam Remote Desktop Gateway Apache“
Kedua, kerentanan yang dapat dipicu saat debugging diaktifkan dalam modul “mod_http2” (CVE-2020-11993), menyebabkan pernyataan logging dibuat pada koneksi yang salah dan mengakibatkan memory corruption karena penggunaan kumpulan log secara bersamaan.
CVE-2020-9490, yang paling parah dari ketiganya, juga berada di modul HTTP/2 dan menggunakan header ‘Cache-Digest’ yang dibuat khusus untuk menyebabkan memory corruption yang mengarah pada terjadinya crash dan denial of service.
Meskipun saat ini belum ditemukan ada pihak yang mengeksploitasi kerentanan ini, sangat penting untuk segera menerapkan rilisan perbaikan ke sistem yang rentan segera serta memastikan bahwa aplikasi yang dijalankan telah dikonfigurasi hanya dengan izin yang diperlukan untuk mengurangi dampaknya.
