آسیب پذیری افزایش سطح دسترسی در آپاچی
آسیب پذیری افزایش ناخواسته سطح دسترسی در سرور آپاچی
آسیب پذیری حاضر در سرور آپاچی باعث میشود که هر کسی که دسترسی به سرور داشته باشد، با استفاده از این آسیب پذیری بتواند به صورت ناخواسته سطح دسترسی خود را افزایش دهد. این مسئله میتواند منجر به دسترسی غیرمجاز به اطلاعات حساس و حتی کنترل کامل سرور توسط هکرها شود. برای پیشگیری از این آسیب پذیری، باید بهروزرسانیهای لازم را بر روی سرور اعمال کرده و تنظیمات امنیتی مناسب را انجام داد.
آسیب پذیری مهم افزایش سطح مجوزها در سرور آپاچی اجازه می دهد تا کاربران عادی با اجرای یک اسکریپت، دسترسی های ریشه را در سیستم های یونیکس با ورژن آپاچی httpd 2.4.39 به دست آوردند.
این آسیب پذیری در تمامی ورژن های آپاچی HTTP Server از 2.4.17 تا 2.4.38 وجود دارد و باعث می شود تا اجرای کد و افزایش سطح دسترسی ایجاد شود.
In Apache HTTP Server 2.4 releases 2.4.17 to 2.4.38, with MPM event, worker or prefork, code executing in less-privileged child processes or threads (including scripts executed by an in-process scripting interpreter) could execute arbitrary code with the privileges of the parent process (usually root) by manipulating the scoreboard. Non-Unix systems are not affected.اقای Mark J. Cox ، از بنیان گذاران آپاچی و عضو بنیانگذاران پروژه OpenSSL، در یک پست توییتر توضیح داد که مسئله امنیتی CVE-2019-0211 در httpd 2.4.39 هنگامی جدی است که وب سرور برای اجرای میزبانی وب مورد استفاده قرار گیرد .
آسیب پذیری موجود در Apache HTTP Server 2.4.17 – 2.4.38 به شما اجازه می دهد تا اسکریپت های (PHP، CGI، ..) را به راحتی برای به دست آوردن کاربر ریشه اجرا کنید. برای در امان ماندن میتوانید ورژن 2.4.39 * را دریافت کنید.
همچنین در آپاچی HTTPD 2.4.39 سه آسیب پذیری مهم نیز رفع شده است.
| CVE | شرح |
| CVE-2019-0217 | مهم: mod_auth_digest دور زدن کنترل دسترسی |
| CVE-2019-0215 | مهم: بایگانی کنترل دسترسی mod_ssl |
| CVE-2019-0197 | کم: mod_http2 |
| CVE-2019-0196 | کم: mod_http2، read-after-free |
| CVE-2019-0220 | کم: httpd URL ناخوشایند |
