Lỗi máy chủ web Apache mới đe dọa tính bảo mật của shared web hosting

Mark J Cox, một trong những thành viên sáng lập của Quỹ phần mềm Apache và dự án OpenSSL, hôm nay đã đăng một tweet cảnh báo người dùng về một lỗ hổng quan trọng được phát hiện gần đây trong phần mềm Máy chủ HTTP Apache.

Máy chủ web Apache là một trong những máy chủ web nguồn mở phổ biến nhất, được sử dụng rộng rãi trên thế giới, cung cấp cho gần 40% toàn bộ Internet.

Lỗ hổng được xác định là CVE-2019-0211, được phát hiện bởi Charles Fol , một kỹ sư bảo mật tại công ty Ambionics Security và được các nhà phát triển Apache vá trong phiên bản mới nhất 2.4,39 của phần mềm được phát hành hôm nay.

Lỗ hổng ảnh hưởng đến Apache HTTP Server phiên bản 2.4.17 đến 2.4,38 và có thể cho phép bất kỳ người dùng ít đặc quyền nào thực thi mã tùy ý với quyền root trên máy chủ được nhắm mục tiêu.

“Trong Apache HTTP Server 2.4 phát hành 2.4.17 đến 2.4.38, với sự kiện MPM, worker hoặc prefork, mã thực thi trong các tiến trình hoặc luồng con ít đặc quyền (bao gồm các tập lệnh được thực thi bởi trình thông dịch kịch bản lệnh trong quá trình) có thể thực thi mã tùy ý với các đặc quyền của quy trình cha mẹ (thường là root) bằng cách thao tác bảng điểm. Các hệ thống không phải là Unix không bị ảnh hưởng “, lời khuyên nói.

Theo Cox, lỗ hổng này liên quan nhiều hơn đến các dịch vụ shared hosting, nơi khách hàng độc hại hoặc tin tặc có khả năng thực thi các tập lệnh PHP hoặc CGI trên trang web có thể sử dụng lỗ hổng để có quyền truy cập root trên máy chủ, cuối cùng làm tổn hại tất cả các dịch vụ khác các trang web được lưu trữ trên cùng một máy chủ.

Bên cạnh đó, phiên bản Apache httpd 2.4.39 mới nhất cũng vá ba vấn đề nghiêm trọng thấp và hai vấn đề quan trọng khác.

Lỗ hổng quan trọng thứ hai (CVE-2019-0217) có thể cho phép “người dùng có thông tin xác thực hợp lệ để xác thực bằng tên người dùng khác, bỏ qua các hạn chế kiểm soát truy cập được định cấu hình”.

Lỗ hổng thứ ba là một vòng kiểm soát truy cập mod_ssl (CVE-2019-0215), “một lỗi trong mod_ssl khi sử dụng xác minh chứng chỉ ứng dụng khách theo vị trí với TLSv1.3 cho phép khách hàng hỗ trợ Xác thực bắt tay sau được cấu hình để bỏ qua các hạn chế kiểm soát truy cập được định cấu hình.”

Chúng tôi đã thấy những tiết lộ trước đây về các lỗ hổng nghiêm trọng trong khung ứng dụng web đã dẫn đến việc khai thác PoC được công bố trong vòng một ngày và khai thác trong tự nhiên , khiến cơ sở hạ tầng quan trọng cũng như dữ liệu của khách hàng gặp rủi ro.

Do đó, các dịch vụ web hosting, các tổ chức quản lý máy chủ của riêng họ và quản trị viên trang web được khuyến khích nâng cấp các phiên bản HTTP HTTP của họ lên các phiên bản mới nhất càng sớm càng tốt.

bình luận

Leave a Comment