Специалисты Apache Software Foundation исправили опасную уязвимость в Apache HTTP Server 2.4, которая при определенных обстоятельствах позволяла выполнить код с правами суперпользователя и перехватить управление сервером.
Проблема (CVE-2019-0211) затрагивает исключительно версии Apache для Unix-систем (от Apache 2.4.17 до 2.4.38) и позволяет менее привилегированному пользователю выполнить код с правами суперпользователя на целевом сервере. Согласно пояснению разработчиков, менее привилегированный дочерний процесс Apache (например, CGI скрипт) может выполнить код с правами родительского процесса. Поскольку на большинстве Unix-систем web-сервер Apache работает с правами суперпользователя, любой атакующий, внедривший вредоносный CGI-скрипт на сервер Apache может воспользоваться уязвимостью, и перехватить контроль над всей системой.
Наибольшую угрозу проблема представляет для сервисов совместного web-хостинга. Как отмечается, CVE-2019-0211 является локальной уязвимостью и для ее эксплуатации злоумышленник изначально должен иметь доступ к серверу (либо создав собственную учетную запись, либо скомпрометировав уже существующие аккаунты). Далее он может загрузить вредоносный PHP или CGI скрипт и скомпрометировать сайты, размещенные на сервере, или украсть данные других клиентов, хранящиеся на машине.
Уязвимость уже устранена в версии Apache httpd 2.4.39. Кроме вышеуказанной, обновление также исправляет ряд других менее опасных багов, в том числе уязвимости (CVE-2019-0217 и CVE-2019-0215), позволяющие обойти ограничения доступа. Пользователям рекомендуется установить обновление как можно скорее.
Источник: securitylab.ru
