W tym tygodniu Apache załatało poważną lukę w swoim oprogramowaniu.
Luka ta mogła pozwolić złośliwym skryptom na wykonanie kodu z uprawnieniami użytkownika root na serwerze.
CVE-2019-0211 – bo tak została oznaczona ta luka – dotyczy wyłącznie systemów Unix i serwera Apache (httpd) w wersji od 2.4.17 do 2.4.38, wraz z wydaniem obecnej wersji tj. 2.4.39 – luka została załatana.
Zagrożenie
Skrypty mogły wykorzystać lukę polegającą na tym iż mniej uprzywilejowane procesy potomne (child process) Apache tj. np skrypty CGI – mogły wykonywać złośliwy kod z uprawnieniami procesu nadrzędnego. O co tu chodzi?
Problem dla hostingu
Ponieważ w większości systemów uniksowych, httpd pod kontrolą serwera Apache działa pod z uprawnieniami użytkownika root, wobec tego każdy złośliwy skrypt CGI na serwerze może wykorzystać CVE-2019-0211 i przejąć kontrolę na serwerem.
Stąd CVE-2019-0211 był dużym problemem dla firm hostingowych. Ale nie tylko.
Nie tylko współdzielone środowiska są narażone.
Na niewspółdzielonych serwerach CVE-2019-0211 również stanowi to problem, gdyż automatycznie zwiększa to potencjalnie inne problemy z bezpieczeństwem serwera. Dlatego Apache powinno być jak najszybciej zaktualizowane do najnowszej wersji, w każdym przypadku.
Klienci HitMe posiadający usługę Serwer VPS z Administracją nie muszą się obawiać – wykonaliśmy potrzebne aktualizacje.
Masz serwer? Potrzebujesz pomocy?
Więcej informacji:
https://httpd.apache.org/security/vulnerabilities_24.html
https://www.apache.org/dist/httpd/Announcement2.4.html