欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

CVE-2019-0211:Apache HTTP服务组件存在提权漏洞

来源:本站整理 作者:佚名 时间:2019-04-03 TAG: 我要投稿


 
0x00 漏洞信息
4月3日,360-CERT监测到开源软件Apache官方发布2.4.39版本的更新,其中修复了一个编号为CVE-2019-0211的提权漏洞,据分析,该漏洞影响严重,攻击者通过上传CGI脚本可直接造成目标系统的提权攻击,影响*nix平台下的Apache 2.4.17到2.4.38版本,建议尽快进行评估修复。
CVE-2019-0211具体漏洞信息如下: *nix平台,在Apache HTTP组件2.4.17到2.4.38版本中,不管是使用MPM event模型、Workder、还是prefork模式,运行于低权限的子进程或线程都可以通过操纵计分板(manipulating the scoreboard)的方式来以父进程的权限(通常是root权限)执行任意代码。
攻击场景中,攻击者需要通过上传可执行脚本的攻击方式来进行攻击。如果目标系统是采用主机共享的场景,该漏洞可能可直接被利用。
影响范围: Apache HTTP Server 2.4.38, 2.4.37, 2.4.35, 2.4.34, 2.4.33, 2.4.30, 2.4.29, 2.4.28, 2.4.27, 2.4.26, 2.4.25, 2.4.23, 2.4.20, 2.4.18, 2.4.17
 
0x01 修复建议
*nix平台尽快通过各自的更新渠道进行更新(目前各家Linux正在紧急评估更新中)
自行编译的HTTP请通过源码更新的方式尽快修复
 
0x02 时间线
2019-04-02 Apache 发布漏洞更新
2019-04-03 360-CERT发布漏洞公告
 

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载