Ważna luka w Apache załatana! Aktualizujemy!

W tym tygodniu Apache załatało poważną lukę w swoim oprogramowaniu.

Luka ta mogła pozwolić złośliwym skryptom na wykonanie kodu z uprawnieniami użytkownika root na serwerze.

CVE-2019-0211 – bo tak została oznaczona ta luka – dotyczy wyłącznie systemów Unix i serwera Apache (httpd) w wersji od 2.4.17 do 2.4.38, wraz z wydaniem obecnej wersji tj. 2.4.39 – luka została załatana.

Zagrożenie

Skrypty mogły wykorzystać lukę polegającą na tym iż mniej uprzywilejowane procesy potomne (child process) Apache tj. np skrypty CGI – mogły wykonywać złośliwy kod z uprawnieniami procesu nadrzędnego. O co tu chodzi?

Problem dla hostingu

Ponieważ w większości systemów uniksowych, httpd pod kontrolą serwera Apache działa pod z uprawnieniami użytkownika root, wobec tego każdy złośliwy skrypt CGI na serwerze może wykorzystać CVE-2019-0211 i przejąć kontrolę na serwerem.

Stąd CVE-2019-0211 był dużym problemem dla firm hostingowych. Ale nie tylko.

Nie tylko współdzielone środowiska są narażone.

Na niewspółdzielonych serwerach CVE-2019-0211 również stanowi to problem, gdyż automatycznie zwiększa to potencjalnie inne problemy z bezpieczeństwem serwera. Dlatego Apache powinno być jak najszybciej zaktualizowane do najnowszej wersji, w każdym przypadku.

Klienci HitMe posiadający usługę Serwer VPS z Administracją nie muszą się obawiać – wykonaliśmy potrzebne aktualizacje.

Masz serwer? Potrzebujesz pomocy?

Zgłoś się do nas!

Więcej informacji:
https://httpd.apache.org/security/vulnerabilities_24.html
https://www.apache.org/dist/httpd/Announcement2.4.html