آسیب پذیری افزایش سطح دسترسی در آپاچی

آسیب پذیری افزایش سطح دسترسی در آپاچی

آسیب پذیری مهم افزایش سطح مجوزها در سرور آپاچی اجازه می دهد تا کاربران عادی با اجرای یک اسکریپت، دسترسی های ریشه را در سیستم های یونیکس با ورژن آپاچی httpd 2.4.39 به دست آوردند.

این آسیب پذیری در تمامی ورژن های آپاچی HTTP Server از 2.4.17 تا 2.4.38 وجود دارد و باعث می شود تا اجرای کد و افزایش سطح دسترسی ایجاد شود.

In Apache HTTP Server 2.4 releases 2.4.17 to 2.4.38, with MPM event, worker or prefork, code executing in less-privileged child processes or threads (including scripts executed by an in-process scripting interpreter) could execute arbitrary code with the privileges of the parent process (usually root) by manipulating the scoreboard. Non-Unix systems are not affected.

اقای Mark J. Cox ، از بنیان گذاران آپاچی و عضو بنیانگذاران پروژه OpenSSL، در یک پست توییتر توضیح داد که مسئله امنیتی CVE-2019-0211 در httpd 2.4.39 هنگامی جدی است که وب سرور برای اجرای میزبانی وب مورد استفاده قرار گیرد .

همچنین در آپاچی HTTPD 2.4.39 سه آسیب پذیری مهم نیز رفع شده است.

CVE شرح
CVE-2019-0217 مهم: mod_auth_digest دور زدن کنترل دسترسی
CVE-2019-0215 مهم: بایگانی کنترل دسترسی mod_ssl
CVE-2019-0197 کم: mod_http2
CVE-2019-0196 کم: mod_http2، read-after-free
CVE-2019-0220 کم: httpd URL ناخوشایند 

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.