漏洞编号

CVE-2019-0211

漏洞等级

高危

影响范围

Apache HTTP Server 2.4.38, 2.4.37, 2.4.35, 2.4.34, 2.4.33, 2.4.30, 2.4.29, 2.4.28, 2.4.27, 2.4.26, 2.4.25, 2.4.23, 2.4.20, 2.4.18, 2.4.17
POC
暂无 POC。

漏洞描述

近日,开源软件Apache官方发布2.4.39版本的更新,其中修复了一个编号为CVE-2019-0211的提权漏洞。 *nix平台,在Apache HTTP组件2.4.17到2.4.38版本中,不管是使用MPM event模型、Workder、还是prefork模式,运行于低权限的子进程或线程都可以通过操纵计分板(manipulating the scoreboard)的方式来以父进程的权限(通常是root权限)执行任意代码。 攻击场景中,攻击者需要通过上传可执行脚本的攻击方式来进行攻击。如果目标系统是采用主机共享的场景,该漏洞可能可直接被利用。

漏洞来源

360网络安全响应中心

影响后果

攻击者可以利用漏洞进行本地权限提升。

规避措施

*nix平台尽快通过各自的更新渠道进行更新(目前各家Linux正在紧急评估更新中) 自行编译的HTTP请通过源码更新的方式尽快修复

漏洞时间

2019-04-03

标签: none

添加新评论