新的Apache Web服务器漏洞威胁共享Web主机的安全

ApacheWeb服务器是世界上最受欢迎、使用最广泛的开源web服务器之一，几乎占整个互联网的40%。

该漏洞被确定为CVE-2019-0211，是由查尔斯·福尔是安倍电子安全公司的安全工程师，由Apache开发人员在今天发布的最新版本2.4.39中对其软件进行了修补。
该漏洞影响Apache HTTP服务器版本2.4.17至2.4.38，并可能允许任何权限较低的用户在目标服务器上以root权限执行任意代码。

“在Apache HTTP Server 2.4版本2.4.17至2.4.38中，如果使用MPM事件、工作进程或预工作，在权限较低的子进程或线程（包括由进程内脚本解释器执行的脚本）中执行的代码可以使用父进程（通常是根进程）的权限执行任意代码。”通过操纵记分板。非Unix系统不会受到影响，”该顾问说。

尽管研究人员尚未发布针对该漏洞的有效概念证明（PoC）攻击代码，Charles今天发布了一篇博客文章，解释了攻击者如何通过前面提到的4个步骤来攻击该漏洞：

1. 获得工作进程的R/W访问权限，
2. 在SHM中编写一个假的prefork_child_bucket结构，
3. 让所有桶[桶]指向结构，
4. 等待6:25AM以获得任意函数调用。

Cox称，该漏洞更多地与共享web托管服务有关，恶意客户或能够在网站上执行PHP或CGI脚本的黑客可以利用该漏洞在服务器上获得根访问权限，最终危及托管在同一服务器上的所有其他网站。

除此之外，最新的Apache httpd 2.4.39版本还修补了三个较低的严重性问题和另外两个重要的严重性问题。
第二个重要缺陷（CVE-2019-0217）可能允许“具有有效凭据的用户使用另一个用户名进行身份验证，从而绕过配置的访问控制限制”。

第三个漏洞是mod_ssl访问控制旁路（CVE-2019-0215），“mod_ssl中的一个漏洞在使用TLSv1.3的每位置客户端证书验证时，允许支持握手后身份验证的客户端绕过配置的访问控制限制”。

我们已经看到，之前对web应用程序框架中严重缺陷的披露如何导致PoC攻击在一天内发布，并在野外进行攻击，从而使关键基础设施和客户数据面临风险。

因此，强烈建议web托管服务、管理自己服务器的组织和网站管理员尽快将其Apache HTTP实例升级到最新版本。