連日來Apache web服務(wù)器bug授予共享主機環(huán)境上的根訪問權(quán)向來一不斷的有小伙伴關(guān)注，不僅如此還衍生出了各大相關(guān)話題，那么跟著小編來看看Apache web服務(wù)器bug授予共享主機環(huán)境上的根訪問權(quán)以及它的相關(guān)資訊吧！

本周，Apache軟件基金會修復(fù)了Apache(Httpd)Web服務(wù)器項目中的一個嚴峻漏洞，該漏洞在某些情況下可能同意 流氓服務(wù)器腳本以根權(quán)限執(zhí)行代碼并接管底層服務(wù)器。

該漏洞被跟蹤為CVE-2019-0211，僅影響Unix系統(tǒng)的Apache Web服務(wù)器版本，從2.4.17到2.4.38，并在本周公布2.4.39版本時修復(fù)。

根據(jù)Apache團隊，較少特權(quán)的Apache子進程（例如CGI腳本）可以執(zhí)行具有父進程權(quán)限的惡意代碼。

因為在大多數(shù)Unix系統(tǒng)上，Apache httpd運行在根用戶下，任何在Apache服務(wù)器上植入惡意CGI腳本的威脅參與者都可以使用CVE-2019-0211來接管運行Apache httpd進程的底層系統(tǒng)，并從本質(zhì)上操縱整個機器。

該漏洞可能不會對運行自己的服務(wù)器基礎(chǔ)架構(gòu)的開辟人員和公司造成直接和明顯的威脅，但該問題是共享Web托管環(huán)境中的一個關(guān)鍵漏洞。

ApacheHTTPServer2.4.17-2.4.38中的缺陷同意 任何人編寫腳本（PHP、CGI……）)以獲得根。立即獲得2.4.39*，尤其是如果您有不受信任的腳本作者或運行共享主機（或使用mod_auth_Digest，由于一個單獨的缺陷），https://t.c/s08xhozkkw

首先，它是一個本地漏洞，這意味著您需要有某種訪問服務(wù)器的權(quán)限，”安全研究員CharlesFol昨天在接受采訪時告訴ZDNET。

這意味著攻擊者必須向共享托管提供商注冊帳戶，或損壞現(xiàn)有帳戶。

一旦發(fā)生這種情況，攻擊者只需要通過他們的租用/受損服務(wù)器的操縱面板上載惡意CGI腳本，以操縱托管提供商的服務(wù)器來阻撓惡意軟件或從存儲在同一計算機上的其他客戶竊取數(shù)據(jù)。

"WebHooster通過“根”帳戶訪問服務(wù)器的總權(quán)限。如果用戶之一成功地利用了報告的漏洞，他/她就會完全訪問服務(wù)器，就像WebHooster一樣，""這意味著讀取/寫入/刪除其他客戶端的任何文件/數(shù)據(jù)庫。"說...

但是，F(xiàn)OL還告訴ZDNET，CVE-2019-0211只是通過它的存在，自動增加了任何其他服務(wù)器安全問題，即使ApacheWeb服務(wù)器不是共享托管環(huán)境的一部分。

"對于攻擊者或處罰員，在[它們]傷害ApacheHTTP服務(wù)器之后，[它們]通常獲得具有低權(quán)限(通常是www-data)的帳戶，"說。

但是，任何同意 攻擊者上傳CGI腳本的目錄遍歷或遠程代碼執(zhí)行漏洞，現(xiàn)在也意味著根據(jù)FOL-2019-0211的結(jié)果自動根訪問。

因此，修補此缺陷必須是必需的。首先，對于共享托管提供商，然后也是針對在私有云、非共享服務(wù)器上運行Apache的公司，這些服務(wù)器面臨著較低的攻擊風(fēng)險。