首頁 > 安全研究 > 安全通報 > 安全通告

Apache HTTP服務組件提權漏洞安全通告

發布時間 2019-04-03

漏洞編號和級別


CVE編號:CVE-2019-0211,危險級別:高危,CVSS分值:廠商自評8.2,官方未評定


影響版本


Apache HTTP Server 2.4.38, 2.4.37, 2.4.35, 2.4.34, 2.4.33, 2.4.30, 2.4.29, 2.4.28, 2.4.27, 2.4.26, 2.4.25, 2.4.23, 2.4.20, 2.4.18, 2.4.17


漏洞概述


Apache官方發布2.4.39版本的更新,其中修復了一個編號為CVE-2019-0211的提權漏洞,據分析,該漏洞影響嚴重,攻擊者通過上傳CGI腳本可直接造成目標系統的提權攻擊,影響*nix平臺下的Apache 2.4.17到2.4.38版本,建議盡快進行評估修復。


*nix平臺,在Apache HTTP組件2.4.17到2.4.38版本中,不管是使用MPM event模型、Workder、還是prefork模式,運行于低權限的子進程或線程都可以通過操縱計分板(manipulating the scoreboard)的方式來以父進程的權限(通常是root權限)執行任意代碼。


攻擊場景中,攻擊者需要通過上傳可執行腳本的攻擊方式來進行攻擊。如果目標系統是采用主機共享的場景,該漏洞可能可直接被利用。


修復建議


1. *nix平臺盡快通過各自的更新渠道進行更新(目前各家Linux正在緊急評估更新中)

2. 自行編譯的HTTP請通過源碼更新的方式盡快修復


參考鏈接


https://access.redhat.com/security/cve/cve-2019-0211
https://httpd.apache.org/security/vulnerabilities_24.html#CVE-2019-0211

上一篇 下一篇