当前位置:首页 > 安全预警 > 正文

关于Apache HTTP 服务存在CVE-2019-0211、CVE-2019-0217漏洞的安全提示

发布时间:2019-04-04 14:00:45,来源:中国信息通信研究院

       4月3日,中国信息通信研究院通过威胁情报获悉,Apache HTTP 服务中存在以下漏洞:编号CVE-2019-0211:权限提升漏洞,黑客可通过记分板操作执行任意代码,2.4.17到2.4.38版本均会受到影响;编号CVE-2019-0217:条件竞争漏洞,黑客可绕过身份验证机制并执行未经授权的操作,2.4.38及之前版本均会受到影响。

 

  一、Apache HTTP服务漏洞情况

 

       漏洞CVE-2019-0211,在Apache HTTP Server2.4.17至2.4.38版本中,黑客在低权限的子进程或线程中可以使用MPM event模型、worker或prefork模式,通过操纵记分板(scoreboard)以父进程的权限(通常是root权限)执行任意代码,实现提权效果,可能导致越权访问或执行恶意代码。


       漏洞CVE-2019-0217,在Apache HTTP Server 2.4.38及之前版本中,mod_auth_digest模块存在条件竞争漏洞,可能允许具有有效凭据的用户使用另一个用户名进行身份验证,黑客可利用漏洞绕过身份验证机制并执行未经授权的操作。

 

  二、Apache HTTP服务漏洞影响范围和处置情况

 

       据悉,Apache Web服务器为全球整个Internet提供了近40%的服务,当Web服务器用于运行共享托管实例时,CVE-2019-0211、CVE-2019-0217漏洞会带来严重风险。攻击者可利用漏洞获取服务器的高级访问权限,最终危及其他所有托管在同一服务器上的网站。我国使用Apache HTTP Server服务器的基数很高,境内对外开放的Apache HTTP Server服务器数量超过800万台,约占全球总量的10%。所以Apache HTTP服务漏洞防范工作尤为重要。

 

       截至到目前,Apache已官方发布了最新版本2.4.39来修复CVE-2019-0211、CVE-2019-0217漏洞,同时被修复的漏洞还有: CVE-2019-0215、CVE-2019-0197、CVE-2019-0196、CVE-2019-0220。为尽快消除安全风险,中国信息通信研究院将进一步严密监测该漏洞发展态势,发出安全提示警示并指导相关用户尽快修复相关问题。

 

  三、处置建议

 

        针对通信行业Apache HTTP使用用户,建议采取以下措施加强防护:

 

       1.Apache HTTP Server官方已经在 Apache HTTP Server 2.4.39版本修复了该漏洞,用户可以通过编译安装来更新至最新版本,下载地址为:http://archive.apache.org/dist/httpd/

 

       2.也可根据需求从各Linux平台的更新渠道进行更新,各个Linux版本已在评估此次更新。

 

       中国信息通信研究院后续将密切监测和关注相关情况。如需技术支援,请联系中国信息通信研究院。