【漏洞背景】
Apache近日披露了多个安全漏洞，其中最严重的漏洞可能导致任意执行代码、拒绝服务。

Apache HTTP Server可以运行在几乎所有计算机平台上，由于其跨平台和安全性被广泛使用，是最流行的Web服务器端软件之一。

【漏洞详情】
CVE-2020-11984，mod_proxy_uwsgi缓冲区溢出漏洞
mod_proxy_uwsgi缓冲区溢出漏洞，可能导致信息泄露或远程代码执行。

威胁等级：中等
影响版本：Apache HTTP Server 2.4.32-2.4.43

CVE-2020-11993，HTTP / 2拒绝服务漏洞
为HTTP / 2模块启用跟踪/调试模式时，错误的连接导致导致拒绝服务。

威胁等级：中等
影响版本：Apache HTTP Server版本2.4.20至2.4.43

CVE-2020-9490，HTTP / 2拒绝服务漏洞
在HTTP/2 请求中一个经过精心构造的’Cache-Digest’值可能会造成服务崩溃，最终导致拒绝服务。

威胁等级：重要
影响版本：Apache HTTP Server 2.4.20-2.4.43

【腾讯安全网络空间测绘数据】
据腾讯安全网络空间测绘数据，在全球有数千万Web服务器采用Apache HTTP Server。可能受漏洞影响的资产广泛分布于世界各地，中国大陆省份中，浙江、广东、山东、北京、上海等省市接近70%。

【安全版本】
Apache HTTP Server >= 2.4.46

【修复方案】
腾讯安全专家建议相关企业将Apache的版本升级到安全版本。

#emerge --sync

#emerge --ask --oneshot --verbose ">=www-servers/apache-2.4.46"

【腾讯安全解决方案】
腾讯T-Sec主机安全（云镜）产品已支持检测云主机系统是否受Apache HTTP Server相关安全漏洞的影响。

腾讯T-Sec主机安全（云镜）提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于腾讯T-Sec主机安全的更多信息，可参考：https://cloud.tencent.com/product/cwp

【参考资料】
https://httpd.apache.org/security/vulnerabilities_24.html

【时间线】
2020年8月7日，官方发布公告并修复
2020年8月10日，腾讯安全发布漏洞风险通告，腾讯安全产品全线支持漏洞检测及相关攻击防御。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课