아파치 재단이 공격자가 잠재적으로 악용 가능한, 웹 서버 소프트웨어에 영향을 미치는 세가지 결함을 해결하기 위해 2.4.46 버전을 출시했다. 공격자는 특정 조건에서 임의 코드를 실행하거나 서버를 충돌시켜 DoS 조건을 유발할 수 있다.
구글 프로젝트 제로 연구원은 CVE-2020-9490, CVE-2020-11984, CVE-2020-11993으로 추적되는 3가지 취약점을 보고했다.
구글의 분석에 따르면 “아파치의 mod_http2 모듈은 단일 HTTP/2 연결을 통해 이미 푸시된 모든 리소스를 추적하는 푸시 다이어리 기능을 지원한다. 새 연결에 대한 불필요한 푸시를 방지하기 위해 클라이언트는 Cache-Digest 헤더에 Base64로 인코딩된 일기를 전송, 활성 푸시 일기를 초기화하거나 교체할 수 있다.”고 한다.
CVE-2020-9490으로 추적되는 가장 심각한 결함은 HTTP/2 모듈에 존재한다.
공격자는 특수 제작된 Cache-Digest 헤더를 사용하여 충돌 및 서비스 거부로 이어지는 메모리 손상 조건을 유발할 수 있다. 구글은 “HTTP/2 요청에서 Cache-Digest 헤더에 대해 제작된 값은 서버가 나중에 실제로 HTTP/2 PUSH를 시도할 때 충돌이 발생한다.”고 보고했다.
CVE-2020-11984로 추적되는 두번째 취약점은 원격 코드 실행으로 이어질 수 있는 ‘mod-uwsgi’ 모듈에 영향을 미치는 버퍼오버플로우 문제이다.
이 결함으로 인해 공격자는 서버에서 실행되는 응용 프로그램 권한에 따라 중요한 데이터를 보거나 변경, 삭제할 수 있다.
세번째 취약점은 CVE-2020-11993으로 추적되며 mod_http2 모듈에서 디버깅이 활성화된 경우에만 악용될 수 있고, 잘못된 연결에서 로깅 문이 작성되고 동시 로그 풀 사용으로 인해 메모리 손상이 발생한다.
당시 아파치 재단을 취약점을 악용하는 공격을 인식하지 못했으며, 관리자에게는 신속한 패치가 권고되었다.
★정보보안 대표 미디어 데일리시큐!★
