Apache HTTP服務組件存在提權(quán)漏洞風險通告
2019-04-03 14:30:00
親愛的金山云用戶:
您好! 2019 年04月03日�,金山云安全應急響應中心監(jiān)控到Apache官方發(fā)布了新版本,同時發(fā)出安全通告�,在發(fā)布的新版本中修復了編號為CVE-2019-0211的提權(quán)漏洞���。詳情如下:
漏洞編號:
CVE-2019-0211
漏洞名稱:
Apache HTTP服務組件提權(quán)漏洞
漏洞危害等級:
高危
漏洞描述:
在Apache HTTP Server 2.4版本2.4.17到2.4.38中, 不管是使用MPM的event, worker 或者 prefork模式����,運行低權(quán)限的子進程或者線程都可以通過操縱計分板的方式以父進程的權(quán)限(通常是root權(quán)限)執(zhí)行任意代碼。
目前非Unix系統(tǒng)不受該漏洞影響�����。
影響版本:
Apache HTTP Server 2.4.38, 2.4.37, 2.4.35, 2.4.34, 2.4.33, 2.4.30, 2.4.29, 2.4.28, 2.4.27, 2.4.26, 2.4.25, 2.4.23, 2.4.20, 2.4.18, 2.4.17
修復方案:
升級到官方最新版本:https://httpd.apache.org/download.cgi#apache24
參考鏈接:
https://httpd.apache.org/security/vulnerabilities_24.html#CVE-2019-0211
北京金山云網(wǎng)絡技術(shù)有限公司
2019/04/03