CVE-2019-0211 - Apache HTTP服务组件中的升级权限漏洞
2019-04-03 00:00
1291 查看
4月1日,开源软件Apache版本2.4.39发布,修复了编号为CVE-2019-0211的特权升级漏洞和编号为CVE-2019-0217的mod_auth_digest访问控制绕过漏洞。根据CVE-2019-0211分析,漏洞影响严重,攻击者编写的脚本(PHP,CGI,...)脚本可以直接获得目标系统的root权限,影响Apache 2.4.17到2.4.38版本*nix平台。
CVE-2019-0211的具体漏洞信息如下:
“在Apache HTTP Server 2.4版本2.4.17至2.4.38中,使用MPM事件,工作者或prefork,在权限较低的子进程或线程(包括进程内脚本解释器执行的脚本)中执行的代码可以执行任意代码通过操纵记分板,父进程(通常是root)的权限。非Unix系统不受影响。“
CVE-2019-0217的具体漏洞信息如下:
“在Apache HTTP Server 2.4版本2.4.38及更早版本中,当在线程服务器中运行时,mod_auth_digest中的竞争条件可能允许具有有效凭据的用户使用其他用户名进行身份验证,从而绕过已配置的访问控制限制。”
受影响的版本
-
CVE-2019-0211
Apache HTTP Server 2.4.38, 2.4.37, 2.4.35, 2.4.34, 2.4.33, 2.4.30, 2.4.29, 2.4.28, 2.4.27, 2.4.26, 2.4.25, 2.4.23, 2.4.20, 2.4.18, 2.4.17 -
CVE-2019-0217
2.4.38, 2.4.37, 2.4.35, 2.4.34, 2.4.33, 2.4.30, 2.4.29, 2.4.28, 2.4.27, 2.4.26, 2.4.25, 2.4.23, 2.4.20, 2.4.18, 2.4.17, 2.4.16, 2.4.12, 2.4.10, 2.4.9, 2.4.7, 2.4.6, 2.4.4, 2.4.3, 2.4.2, 2.4.1, 2.4.0
解决方法:
升级至 Apache httpd 2.4.39
相关文章推荐
- Apache HTTP Server mod_session_dbd 远程安全漏洞(CVE-2013-2249)
- Apache HTTP Server HTTP响应分离漏洞(CVE-2016-4975)
- OpenSSH J-PAKE授权问题漏洞(CVE-2010-4478) 升级OpenSSH服务
- Apache HTTP Server畸形Range选项处理远程拒绝服务漏洞
- [安全漏洞公告专区]【漏洞公告】CVE-2017-9798:“Optionsbleed”-Apache HTTP OPTIONS方法内存泄露漏洞
- Apache HTTP Server balancer_handler函数跨站脚本漏洞(CVE-2012-4558)
- 【漏洞公告】CVE-2017-7669:Apache Hadoop远程权限提升漏洞
- Linux下SVN服务器同时支持Apache的http和https及svnserve独立服务器三种模式且使用相同的访问权限账号
- Linux解决CVE-2015-2808、CVE-2016-8610漏洞openssl_openssh升级具体步骤
- Linux系统Apache服务 - 配置HTTP的默认主页
- Apache HTTP Server日志内终端转义序列命令注入漏洞
- IIS写权限漏洞 (HTTP PUT方法利用)
- Apache http服务配置文件说明
- Mac OS X开启网站Http服务与apache的方法(包括Moutain Lion)
- 使用DCOM组件服务操作Excel,权限问题,进程释放问题
- apache_openssl漏洞的利用及权限的提升
- WCF服务:HTTP 无法注册 URL http://+:8000 进程不具有此命名空间的访问权限
- 关于centos7和centos6中平滑升级nginx到新版本v1.12.1修复nginx最新漏洞CVE-2017-7529的解决方案
- Apache Struts 多个开放重定向漏洞(CVE-2013-2248)