據外媒報道,安全工程師Charles Fol發現Apache HTTP Server軟件中存在權限提升漏洞,黑客可通過記分板操作執行任意代碼,2.4.17到2.4.38版本受影響。
該漏洞被跟蹤為CVE-2019-0211,在Apache HTTP Server2.4.17至2.4.38版本中,黑客在低權限的子進程或線程中可以使用MPM event模型、worker或prefork模式,通過操縱記分板以父進程的權限(通常是root權限)執行任意代碼。
據悉,Apache Web服務器為整個Internet提供了近40%的服務,當Web服務器用於運行共享託管實例時,CVE-2019-0211漏洞會帶來嚴重風險。攻擊者可通過上傳CGI腳本,利用該漏洞獲取服務器的root訪問權限,最終危及其他所有託管在同一服務器上的網站。
截至目前,Apache開發人員在發佈的最新版本2.4.39中修復了該漏洞,同時還修補了三個可能導致崩潰、免費讀取和規範化不一致問題的低嚴重性漏洞,專家建議用戶
儘快升級版本以免遭受攻擊。來源:http://u6.gg/sphH5
分享到:
閱讀更多 安勝ANSCEN 的文章
