内容简介:4月1日,开源软件Apache版本2.4.39发布,修复了编号为CVE-2019-0211的特权升级漏洞和编号为CVE-2019-0217的mod_auth_digest访问控制绕过漏洞。根据CVE-2019-0211分析,漏洞影响严重,攻击者编写的脚本(PHP,CGI,...)脚本可以直接获得目标系统的root权限,影响Apache 2.4.17到2.4.38版本*nix平台。CVE-2019-0211的具体漏洞信息“在Apache HTTP Server 2.4版本2.4.17至2.4.38中,使用MP
4月1日,开源软件Apache版本2.4.39发布,修复了编号为CVE-2019-0211的特权升级漏洞和编号为CVE-2019-0217的mod_auth_digest访问控制绕过漏洞。根据CVE-2019-0211分析,漏洞影响严重,攻击者编写的脚本(PHP,CGI,...)脚本可以直接获得目标系统的root权限,影响Apache 2.4.17到2.4.38版本*nix平台。
CVE-2019-0211的具体漏洞信息 如下 :
“在Apache HTTP Server 2.4版本2.4.17至2.4.38中,使用MPM事件,工作者或prefork,在权限较低的子进程或线程(包括进程内脚本解释器执行的脚本)中执行的代码可以执行任意代码通过操纵记分板,父进程(通常是root)的权限。非Unix系统不受影响。“
CVE-2019-0217的具体漏洞信息 如下 :
“在Apache HTTP Server 2.4版本2.4.38及更早版本中,当在线程服务器中运行时,mod_auth_digest中的竞争条件可能允许具有有效凭据的用户使用其他用户名进行身份验证,从而绕过已配置的访问控制限制。”
受影响的版本
-
CVE-2019-0211
Apache HTTP Server 2.4.38, 2.4.37, 2.4.35, 2.4.34, 2.4.33, 2.4.30, 2.4.29, 2.4.28, 2.4.27, 2.4.26, 2.4.25, 2.4.23, 2.4.20, 2.4.18, 2.4.17 -
CVE-2019-0217
2.4.38, 2.4.37, 2.4.35, 2.4.34, 2.4.33, 2.4.30, 2.4.29, 2.4.28, 2.4.27, 2.4.26, 2.4.25, 2.4.23, 2.4.20, 2.4.18, 2.4.17, 2.4.16, 2.4.12, 2.4.10, 2.4.9, 2.4.7, 2.4.6, 2.4.4, 2.4.3, 2.4.2, 2.4.1, 2.4.0
解决方法:
升级至 Apache httpd 2.4.39
Linux公社的RSS地址 : https://www.linuxidc.com/rssFeed.aspx
本文永久更新链接地址: https://www.linuxidc.com/Linux/2019-04/157922.htm
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网
猜你喜欢:
- JavaMelody组件XXE漏洞解析
- 复现WebLogic最新漏洞(WLS组件)
- 微软Exchange和DHCP服务端组件漏洞预警
- 漏洞预警 | Mini_httpd组件漏洞影响257万IOT设备(CVE-2018-18778)
- Apache HTTP Server组件提权漏洞预警
- JoomlaV3.7核心组件无需登录SQL注入漏洞
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
互联网的误读
詹姆斯•柯兰(James Curran)、娜塔莉•芬顿(Natalie Fenton)、德 斯•弗里德曼(Des Freedman) / 何道宽 / 中国人民大学出版社 / 2014-7-1 / 45.00
互联网的发展蔚为壮观。如今,全球的互联网用户达到20亿之众,约占世界人口的30%。这无疑是一个新的现象,对于当代各国的经济、政治和社会生活意义重大。有关互联网的大量大众读物和学术著作鼓吹其潜力将从根本上被重新认识,这在20世纪90年代中期一片唱好时表现尤甚,那时许多论者都对互联网敬畏三分,惊叹有加。虽然敬畏和惊叹可能已成过去,然而它背后的技术中心主义——相信技术决定结果——却阴魂不散,与之伴生的则......一起来看看 《互联网的误读》 这本书的介绍吧!
Markdown 在线编辑器
Markdown 在线编辑器
HEX HSV 转换工具
HEX HSV 互换工具