Apache HTTP存在提权漏洞,威胁共享Web主机安全性

  据外媒报道,安全工程师Charles Fol发现Apache HTTP Server软件中存在权限提升漏洞,黑客可通过记分板操作执行任意代码,2.4.17到2.4.38版本受影响。

  该漏洞被跟踪为CVE-2019-0211,在Apache HTTP Server2.4.17至2.4.38版本中,黑客在低权限的子进程或线程中可以使用MPM event模型、worker或prefork模式,通过操纵记分板以父进程的权限(通常是root权限)执行任意代码。

  据悉,Apache Web服务器为整个Internet提供了近40%的服务,当Web服务器用于运行共享托管实例时,CVE-2019-0211漏洞会带来严重风险。攻击者可通过上传CGI脚本,利用该漏洞获取服务器的root访问权限,最终危及其他所有托管在同一服务器上的网站。

  截至目前,Apache开发人员在发布的最新版本2.4.39中修复了该漏洞,同时还修补了三个可能导致崩溃、免费读取和规范化不一致问题的低严重性漏洞,专家建议用户尽快升级版本以免遭受攻击。

发表评论

评论已关闭。

相关文章