CVE-2019-0211 - Apache HTTP服务组件中的升级权限漏洞

栏目: 服务器 · Apache · 发布时间: 5年前

内容简介:4月1日,开源软件Apache版本2.4.39发布,修复了编号为CVE-2019-0211的特权升级漏洞和编号为CVE-2019-0217的mod_auth_digest访问控制绕过漏洞。根据CVE-2019-0211分析,漏洞影响严重,攻击者编写的脚本(PHP,CGI,...)脚本可以直接获得目标系统的root权限,影响Apache 2.4.17到2.4.38版本*nix平台。CVE-2019-0211的具体漏洞信息“在Apache HTTP Server 2.4版本2.4.17至2.4.38中,使用MP

4月1日,开源软件Apache版本2.4.39发布,修复了编号为CVE-2019-0211的特权升级漏洞和编号为CVE-2019-0217的mod_auth_digest访问控制绕过漏洞。根据CVE-2019-0211分析,漏洞影响严重,攻击者编写的脚本(PHP,CGI,...)脚本可以直接获得目标系统的root权限,影响Apache 2.4.17到2.4.38版本*nix平台。

CVE-2019-0211的具体漏洞信息 如下

“在Apache HTTP Server 2.4版本2.4.17至2.4.38中,使用MPM事件,工作者或prefork,在权限较低的子进程或线程(包括进程内脚本解释器执行的脚本)中执行的代码可以执行任意代码通过操纵记分板,父进程(通常是root)的权限。非Unix系统不受影响。“

CVE-2019-0217的具体漏洞信息 如下

“在Apache HTTP Server 2.4版本2.4.38及更早版本中,当在线程服务器中运行时,mod_auth_digest中的竞争条件可能允许具有有效凭据的用户使用其他用户名进行身份验证,从而绕过已配置的访问控制限制。”

受影响的版本

  • CVE-2019-0211
    Apache HTTP Server 2.4.38, 2.4.37, 2.4.35, 2.4.34, 2.4.33, 2.4.30, 2.4.29, 2.4.28, 2.4.27, 2.4.26, 2.4.25, 2.4.23, 2.4.20, 2.4.18, 2.4.17
  • CVE-2019-0217

    2.4.38, 2.4.37, 2.4.35, 2.4.34, 2.4.33, 2.4.30, 2.4.29, 2.4.28, 2.4.27, 2.4.26, 2.4.25, 2.4.23, 2.4.20, 2.4.18, 2.4.17, 2.4.16, 2.4.12, 2.4.10, 2.4.9, 2.4.7, 2.4.6, 2.4.4, 2.4.3, 2.4.2, 2.4.1, 2.4.0

解决方法:

升级至 Apache httpd 2.4.39

Linux公社的RSS地址https://www.linuxidc.com/rssFeed.aspx

本文永久更新链接地址: https://www.linuxidc.com/Linux/2019-04/157922.htm


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

网络英雄传

网络英雄传

郭羽、刘波 / 江苏凤凰文艺出版社 / 2018-6 / 59.80元

“商战鬼才郭羽、营销奇才刘波强强联手,凝集十年实战经验,倾力打造商战巨作。” 这是一个商业竞争和资本激战交织的惊心动魄的创业交锋故事。 由郭天宇、刘帅共同创立的在线旅游公司万全天盛凭借其出色的商业模式异军突起,与老牌巨头“51旅游网”两强相争,但国际巨头通远来势汹汹,国内在线旅游市场进入战火纷飞的“三国杀”时代,分踞杭、沪、京三地互相“搏杀”。中国新兴的互联网公司面对国际巨头的入侵,毫不退缩......一起来看看 《网络英雄传》 这本书的介绍吧!

图片转BASE64编码
图片转BASE64编码

在线图片转Base64编码工具

HTML 编码/解码
HTML 编码/解码

HTML 编码/解码

Base64 编码/解码
Base64 编码/解码

Base64 编码/解码