X

В старых версиях Apache найдена серьезная уязвимость

Серверы под управлением Apache версий 2.4.17-2.4.38 обладают серьезной уязвимостью с помощью которой можно получить root-доступ к системе.

«В релизах ApacheHTTPServer 2.4.17-2.4.38 c модулем мультипроцессовой обработки в вариантах Event, Worker или PreFork запуск кода в контексте дочерних процессов или потоков с более низкими привилегиями (речь идет, в том числе, о запуске скриптов собственным интерпретатором процесса) позволяет запустить произвольный код с привилегиями родительского процесса (обычно с уровнем root) через манипуляции в scoreboard. Системы, не родственные Unix, не затронуты», — сообщает портал выявивший уязвимость.

Уязвимость, о которой идет речь, — CVE-2019-0211 — может стать источником серьезного риска для веб-серверов, используемых для запуска инстансов общего хостинга: при таких условиях пользователи с ограниченными правами могут использовать уязвимость для получения root-привилегий, используя скрипты и запуская команды на уязвимых веб-серверах Apache.

Всем владельцам серверов рекомендуется незамедлительно обновить свои Apache до версии 2.4.39, где описанный выше баг был полностью закрыт.

Похожие записи