FavoriteLoading
0

Apache HTTP Server組件提權漏洞預警

 

事件描述

Apache HTTP Server組件介紹

到目前為止Apache HTTP Server的市場占有率達60%左右,已經是世界使用排名第一的Web服務器軟件。世界上很多著名的網站如Amazon、Yahoo!、W3 Consortium、Financial Times等都是Apache HTTP Server的產物。據統計,在全球范圍內對互聯網開放Apache HTTP Server服務器的資產數量多達9000萬臺,發現美國地區對外開放的Apache HTTP Server服務器數量排名第一,數量為2400萬臺,接近全球總量的30%。排名第二與第三的分別是中國與韓國地區,其對外開放的Apache HTTP Server服務器數量分別為880萬和670萬臺。

圖1 ?Apache HTTP Server全球范圍內情況分布

由以上數據統計看來,國內使用Apache HTTP Server服務器的使用基數很高,用戶相當廣泛,在國內,Apache HTTP Server使用量最高的三個省市是北京,浙江以及遼寧,在北京的使用量最高,數量達2,740,303臺,在浙江省的使用量也達100萬以上,遼寧省的使用量達近90萬,所以對Apache HTTP Server服務器的漏洞防范就顯得尤為重要了。

圖2??Apache HTTP Server服務器國內使用情況分布

漏洞描述

在Apache HTTP Server 2.4發行版2.4.17到2.4.38中,無論是使用Apache HTTP Server?的MPM?event模式、還是worker或prefork模式,在低權限的子進程或線程中執行的代碼(包括由進程內腳本解釋器執行的腳本)可以通過操縱記分牌(scoreboard)來執行具有父進程(通常是Root進程)權限的任意代碼。非unix系統則不受影響。

影響范圍

據統計,在全球范圍內對互聯網開放Apache HTTP Server服務器的資產數量多達9000萬臺,其中歸屬中國地區的受影響資產數量為800萬臺以上。

目前受影響的Apache HTTP Server版本:

Apache HTTP Server 2.4.38, 2.4.37, 2.4.35, 2.4.34, 2.4.33, 2.4.30, 2.4.29, 2.4.28, 2.4.27, 2.4.26, 2.4.25, 2.4.23, 2.4.20, 2.4.18, 2.4.17

參考鏈接

https://httpd.apache.org/security/vulnerabilities_24.html

解決方案

修復建議

1.Apache HTTP Server官方已經在 Apache HTTP Server?2.4.39版本修復了該漏洞,用戶可以通過編譯安裝來更新至最新版本,下載地址為:

http://archive.apache.org/dist/httpd/

2.*nix平臺也可根據需求從各自的更新渠道進行更新,各個linux版本已在評估此次更新。

【聲明】:8090安全小組門戶(http://www.jvwkvg.tw)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。