【漏洞预警】Apache HTTP Server提权漏洞(CVE-2019-0211)预警通告
【漏洞预警】Apache HTTP Server提权漏洞(CVE-2019-0211)预警通告
预警编号:NS-2019-0011
2019-04-03
TAG: | Apache、提权 |
|---|---|
危害等级: | 高,攻击者可以提升为root权限执行任意命令。 |
版本: | 1.0 |
1
漏洞概述
近日,Apache官方发布通告修复了一个HTTP Server中存在的提权漏洞(CVE-2019-0211)。通过该漏洞,无论处于MPM event、worker或prefork任一处理模型下,权限较低的子进程或线程(包括由进程内脚本解释器执行的脚本)可以通过操作计分板(Scoreboard)来获取其父进程(通常为root)权限并执行代码。
Apache HTTP Server,是Apache软件基金会的一个开源的Web服务器,由于其具有的跨平台性被广泛使用,是最流行的Web服务器端软件之一。根据绿盟科技威胁情报反馈的数据,国内在公网开放的Apache资产数量将近700万之多。
参考链接:
https://httpd.apache.org/security/vulnerabilities_24.html#CVE-2019-0211
SEE MORE →
2影响范围
受影响版本
- Apache HTTP Server 2.4.17 - 2.4.38
不受影响版本
- Apache HTTP Server 2.4.39
Apache官方指出该漏洞只影响Unix系统上的应用,由于Red Hat部分版本中自带了httpd包,目前厂商仍在评估影响,详情请参考以下链接:
https://access.redhat.com/security/cve/cve-2019-0211
3影响排查
使用Apache HTTP Server的用户可通过以下命令检查当前使用的应用版本,如果在受影响范围内,则可能存在风险,请及时进行版本升级。
httpd -v |
|---|
4解决建议
官方已经发布了新版本修复了该漏洞,请相关用户及时下载并更新,下载链接请参考以下链接:
https://httpd.apache.org/download.cgi
END
作者:绿盟科技安全服务部
声明
本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。
绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。