安全公告
当前位置: 首页>>网络安全>>安全公告>>正文
关于Apache HTTP服务组件提权漏洞的安全公告
2019-04-04   综合补天、嘶吼网等安全厂商消息   (点击: )

大工网安告[2019]012号

一、    情况分析

综合补天、嘶吼网等安全厂商消息,近日Aapche HTTP Server官方发布了Aapche HTTP Server 2.4.39版本的更新,该版本修复了一个漏洞编号为CVE-2019-0211提权漏洞,漏洞等级高危,攻击者通过上传CGI脚本可直接造成目标系统的提权攻击,该漏洞在非Linux平台不受影响。

在Apache HTTP组件2.4.17到2.4.38版本中,不管是使用MPM event模型、Workder、还是prefork模式,运行于低权限的子进程或线程都可以通过操纵计分板(manipulating the scoreboard)的方式来以父进程的权限(通常是root权限)执行任意代码。攻击场景中,攻击者需要通过上传可执行脚本的攻击方式来进行攻击。如果目标系统是采用主机共享的场景,该漏洞可能可直接被利用。。

二、    影响范围

受影响的Apache HTTP Server版本包括从2.4.38, 2.4.37, 2.4.35, 2.4.34, 2.4.33, 2.4.30, 2.4.29, 2.4.28, 2.4.27, 2.4.26, 2.4.25, 2.4.23, 2.4.20, 2.4.18, 2.4.17 。

三、    处置建议

1.Apache HTTP Server官方已经在 Apache HTTP Server 2.4.39版本修复了该漏洞,用户可以通过编译安装来更新至最新版本,下载地址为:

http://archive.apache.org/dist/httpd/

2.也可根据需求从各Linux平台的更新渠道进行更新,各个linux版本已在评估此次更新。

附:参考链接

https://httpd.apache.org/security/vulnerabilities_24.html

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-0211