漏洞概述

4月3日，监测到开源软件Apache官方发布2.4.39版本的更新，其中修复了一个编号为CVE-2019-0211的提权漏洞，据分析，该漏洞影响严重，攻击者通过上传CGI脚本可直接造成目标系统的提权攻击，影响*nix平台下的Apache 2.4.17到2.4.38版本，建议尽快进行评估修复。

具体漏洞信息如下：

*nix平台，在Apache HTTP组件2.4.17到2.4.38版本中，不管是使用MPM event模型、Workder、还是prefork模式，运行于低权限的子进程或线程都可以通过操纵计分板（manipulating the scoreboard）的方式来以父进程的权限（通常是root权限）执行任意代码。

攻击场景中，攻击者需要通过上传可执行脚本的攻击方式来进行攻击。如果目标系统是采用主机共享的场景，该漏洞可能可直接被利用。

漏洞编号

CVE-2019-0211

受影响版本

Apache HTTP Server 2.4.38, 2.4.37, 2.4.35, 2.4.34, 2.4.33, 2.4.30, 2.4.29, 2.4.28, 2.4.27, 2.4.26, 2.4.25, 2.4.23, 2.4.20, 2.4.18, 2.4.17

解决方案

*nix平台尽快通过各自的更新渠道进行更新

自行编译的HTTP请通过源码更新的方式尽快修复

参考链接

Redhat更新

[redhat: https://access.redhat.com/security/cve/cve-2019-0211]

Apache安全公告

[https://httpd.apache.org/security/vulnerabilities_24.html#CVE-2019-0211]