连日来Apache web服务器bug授予共享主机环境上的根访问权向来一不断的有小伙伴关注,不仅如此还衍生出了各大相关话题,那么跟着小编来看看Apache web服务器bug授予共享主机环境上的根访问权以及它的相关资讯吧!
本周,Apache软件基金会修复了Apache(Httpd)Web服务器项目中的一个严峻漏洞,该漏洞在某些情况下可能同意 流氓服务器脚本以根权限执行代码并接管底层服务器。
该漏洞被跟踪为CVE-2019-0211,仅影响Unix系统的Apache Web服务器版本,从2.4.17到2.4.38,并在本周公布2.4.39版本时修复。
根据Apache团队,较少特权的Apache子进程(例如CGI脚本)可以执行具有父进程权限的恶意代码。
因为在大多数Unix系统上,Apache httpd运行在根用户下,任何在Apache服务器上植入恶意CGI脚本的威胁参与者都可以使用CVE-2019-0211来接管运行Apache httpd进程的底层系统,并从本质上操纵整个机器。
该漏洞可能不会对运行自己的服务器基础架构的开辟人员和公司造成直接和明显的威胁,但该问题是共享Web托管环境中的一个关键漏洞。
ApacheHTTPServer2.4.17-2.4.38中的缺陷同意 任何人编写脚本(PHP、CGI……))以获得根。立即获得2.4.39*,尤其是如果您有不受信任的脚本作者或运行共享主机(或使用mod_auth_Digest,由于一个单独的缺陷),https://t.c/s08xhozkkw
首先,它是一个本地漏洞,这意味着您需要有某种访问服务器的权限,”安全研究员CharlesFol昨天在接受采访时告诉ZDNET。
这意味着攻击者必须向共享托管提供商注册帐户,或损坏现有帐户。
一旦发生这种情况,攻击者只需要通过他们的租用/受损服务器的操纵面板上载恶意CGI脚本,以操纵托管提供商的服务器来阻挠恶意软件或从存储在同一计算机上的其他客户窃取数据。
"WebHooster通过“根”帐户访问服务器的总权限。如果用户之一成功地利用了报告的漏洞,他/她就会完全访问服务器,就像WebHooster一样,""这意味着读取/写入/删除其他客户端的任何文件/数据库。"说...
但是,FOL还告诉ZDNET,CVE-2019-0211只是通过它的存在,自动增加了任何其他服务器安全问题,即使ApacheWeb服务器不是共享托管环境的一部分。
"对于攻击者或处罚员,在[它们]伤害ApacheHTTP服务器之后,[它们]通常获得具有低权限(通常是www-data)的帐户,"说。
但是,任何同意 攻击者上传CGI脚本的目录遍历或远程代码执行漏洞,现在也意味着根据FOL-2019-0211的结果自动根访问。
因此,修补此缺陷必须是必需的。首先,对于共享托管提供商,然后也是针对在私有云、非共享服务器上运行Apache的公司,这些服务器面临着较低的攻击风险。