我要投搞

标签云

收藏小站

爱尚经典语录、名言、句子、散文、日志、唯美图片

当前位置:2019全年资料大全正版 > 泛型类型定义 >

Apache Web服务器错误授予共享主机环境的root访问权限

归档日期:06-06       文本归类:泛型类型定义      文章编辑:爱尚语录

  本周,Apache软件基金会修补了Apache(httpd)Web服务器项目中的一个严重漏洞,该漏洞可能在某些情况下允许恶意服务器脚本以root权限执行代码并接管底层服务器。

  根据Apache团队的说法,权限较低的Apache子进程(例如CGI脚本)可以使用父进程的权限执行恶意代码。

  因为在大多数Unix系统上,Apache httpd在root用户下运行,所以在Apache服务器上安装了恶意CGI脚本的任何威胁演员都可以使用CVE-2019-0211来接管运行Apache httpd进程的底层系统,并且本身就可以控制整机。

  该漏洞可能不会对运行自己的服务器基础架构的开发人员和公司构成直接且明显的威胁,但该问题是共享Web托管环境中的一个关键漏洞。

  “首先,它是一个本地漏洞,这意味着你需要对服务器进行某种访问,”发现这个漏洞的安全研究员Charles Fol 在昨天接受采访时告诉ZDNet。

  一旦发生这种情况,攻击者只需要通过其租用/受感染服务器的控制面板上传恶意CGI脚本,以控制托管服务提供商的服务器以植入恶意软件或窃取其他客户的数据,这些客户的数据存储在同一台计算机上。

  “网络主机通过root帐户可以完全访问服务器。如果其中一个用户成功利用我报告的漏洞,他/她将获得对服务器的完全访问权限,就像网络主机一样,”Fol说。“这意味着读/写/删除其他客户的任何文件/数据库。”

  但Fol也告诉ZDNet,CVE-2019-0211,只是它的存在,自动增加任何其他服务器安全问题 - 即使Apache Web服务器不是共享托管环境的一部分。

  “对于攻击者或监狱,在[他们]破坏Apache HTTP服务器之后,[他们]通常会获得一个低权限的帐户(通常是,”Fold说。

  但根据Fol的说法,任何目录遍历或远程代码执行缺陷都允许攻击者上传CGI脚本,现在也意味着CVE-2019-0211的自动root访问权限。

  因此,修补这个缺陷是必须的。首先是共享托管服务提供商,然后是在私有非共享服务器上运行Apache的公司 - 然而,这些服务器面临较低的攻击风险。

本文链接:http://buggystordera.com/fanxingleixingdingyi/447.html