Apache HTTP Server组件提权漏洞预警

栏目: 服务器 · Apache · 发布时间: 5年前

内容简介:近日,Aapche HTTP Server官方发布了Aapche HTTP Server 2.4.39版本的更新,该版本修复了一个漏洞编号为CVE-2019-0211提权漏洞,漏洞等级高危,根据深信服安全团队分析,该漏洞影响严重,攻击者可以通过上传攻击脚本在目标服务器上进行提权攻击,该漏洞在非*nix平台不受影响。Apache HTTP Server源于NCSAhttpd服务器,于1995年推出,取名取自于“a patchy server”的读音,意思是充满补丁的服务器,因为它是自由软件,所以不断有人来为它

近日,Aapche HTTP Server官方发布了Aapche HTTP Server 2.4.39版本的更新,该版本修复了一个漏洞编号为CVE-2019-0211提权漏洞,漏洞等级高危,根据深信服安全团队分析,该漏洞影响严重,攻击者可以通过上传攻击脚本在目标服务器上进行提权攻击,该漏洞在非*nix平台不受影响。

Apache HTTP Server组件介绍

Apache HTTP Server源于NCSAhttpd服务器,于1995年推出,取名取自于“a patchy server”的读音,意思是充满补丁的服务器,因为它是自由软件,所以不断有人来为它开发新的功能、新的特性、修改原来的缺陷。Apache HTTP Server的特点是简单、速度快、性能稳定,并可做代理服务器来使用。由于其跨平台和安全性优良,自1996年4月以来,Apache HTTP Server一直是互联网上最受欢迎的网络服务器。

到目前为止Apache HTTP Server的市场占有率达60%左右,已经是世界使用排名第一的Web服务器软件。世界上很多著名的网站如Amazon、Yahoo!、W3 Consortium、Financial Times等都是Apache HTTP Server的产物。据统计,在全球范围内对互联网开放Apache HTTP Server服务器的资产数量多达9000万台,发现美国地区对外开放的Apache HTTP Server服务器数量排名第一,数量为2400万台,接近全球总量的30%。排名第二与第三的分别是中国与韩国地区,其对外开放的Apache HTTP Server服务器数量分别为880万和670万台。

Apache HTTP Server组件提权漏洞预警

图1  Apache HTTP Server全球范围内情况分布

(统计数据仅为对互联网开放的资产,本数据来源于FOFA。)

由以上数据统计看来,国内使用Apache HTTP Server服务器的使用基数很高,用户相当广泛,在国内,Apache HTTP Server使用量最高的三个省市是北京,浙江以及辽宁,在北京的使用量最高,数量达2,740,303台,在浙江省的使用量也达100万以上,辽宁省的使用量达近90万,所以对Apache HTTP Server服务器的漏洞防范就显得尤为重要了。

Apache HTTP Server组件提权漏洞预警

图2  Apache HTTP Server服务器国内使用情况分布

(统计数据仅为对互联网开放的资产,本数据来源于FOFA。)

漏洞描述

在Apache HTTP Server 2.4发行版2.4.17到2.4.38中,无论是使用Apache HTTP Server 的MPM event模式、还是worker或prefork模式,在低权限的子进程或线程中执行的代码(包括由进程内脚本解释器执行的脚本)可以通过操纵记分牌(scoreboard)来执行具有父进程(通常是Root进程)权限的任意代码。非unix系统则不受影响。

影响范围

据统计,在全球范围内对互联网开放Apache HTTP Server服务器的资产数量多达9000万台,其中归属中国地区的受影响资产数量为 800万台以上。

目前受影响的Apache HTTP Server版本:

Apache  HTTP Server 2.4.38, 2.4.37, 2.4.35, 2.4.34, 2.4.33, 2.4.30, 2.4.29,  2.4.28, 2.4.27, 2.4.26, 2.4.25, 2.4.23, 2.4.20, 2.4.18, 2.4.17

修复建议

1.Apache HTTP Server官方已经在 Apache HTTP Server 2.4.39版本修复了该漏洞,用户可以通过编译安装来更新至最新版本,下载地址为:

http://archive.apache.org/dist/httpd/

2.*nix平台也可根据需求从各自的更新渠道进行更新,各个 linux 版本已在评估此次更新。

参考链接

https://httpd.apache.org/security/vulnerabilities_24.html


以上所述就是小编给大家介绍的《Apache HTTP Server组件提权漏洞预警》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

科学的极致:漫谈人工智能

科学的极致:漫谈人工智能

集智俱乐部 / 人民邮电出版社 / 2015-7 / 49.00元

集智俱乐部是一个从事学术研究、享受科学乐趣的探索者组成的团体,倡导以平等开放的态度、科学实证的精神进行跨学科的研究与交流,力图搭建一个中国的“没有围墙的研究所”。这些令人崇敬的、充满激情与梦想的集智俱乐部成员将带你了解图灵机模型、冯•诺依曼计算机体系结构、怪圈与哥德尔定理、通用人工智能、深度学习、人类计算与自然语言处理,与你一起展开一场令人热血沸腾的科学之旅。一起来看看 《科学的极致:漫谈人工智能》 这本书的介绍吧!

在线进制转换器
在线进制转换器

各进制数互转换器

XML 在线格式化
XML 在线格式化

在线 XML 格式化压缩工具

正则表达式在线测试
正则表达式在线测试

正则表达式在线测试