Im Code des Apache Webservers (HTTP Server 2.4.17 – 2.4.38) gibt es einen Schwachstelle, die die Sicherheit von Shared Web Hosts gefährdet. Betreiber eines solchen Servers sollten das Produkt auf die Version 2.4.39 aktualisieren.
Anzeige
Der Apache Webserver ist recht populär und wird für 40% der gehosteten Webseiten eingesetzt. Mark J. Cox, eines der Gründungsmitglieder der Apache Software Foundation und des OpenSSL-Projekts, hat heute einen Tweet veröffentlicht, der die Benutzer über einen kürzlich entdeckten wichtigen Fehler in der Apache HTTP Server-Software informiert.
Flaw in Apache HTTP Server 2.4.17 – 2.4.38 allows anyone you allow to write a script (PHP, CGI,..) to gain root. Get 2.4.39 *now* especially if you have untrusted script authors or run shared hosting (or use mod_auth_digest, due to a separate flaw)https://t.co/s08XhOzKKW
— Mark J Cox (@iamamoose) 2. April 2019
Die Schwachstelle CVE-2019-0211 wurde von Charles Fol, einem Sicherheitsingenieur bei Ambionics Security Company, entdeckt und von den Apache-Entwicklern in der neuesten Version 2.4.39 ihrer heute veröffentlichten Software gepatcht. Fol hat in einem Tweet eine Beschreibung und ein Proof of Concept angekündigt.
Apache Local Root: CVE-2019-0211: Vulnerability description. Exploit will come later.https://t.co/5ch5lSImx3
— Charles Fol (@cfreal_) 3. April 2019
Der Fehler betrifft die Apache HTTP Server Versionen 2.4.17 bis 2.4.38 und ermöglicht es jedem weniger privilegierten Benutzer beliebigen Code mit root-Rechten auf dem Zielserver auszuführen. Es gibt eine Sicherheitswarnung (Advisory) zu CVE-2019-0211, der die Details beschreibt:
In Apache HTTP Server 2.4 releases 2.4.17 to 2.4.38, with MPM event, worker or prefork, code executing in less-privileged child processes or threads (including scripts executed by an in-process scripting interpreter) could execute arbitrary code with the privileges of the parent process (usually root) by manipulating the scoreboard. Non-Unix systems are not affected.
Die Details sind in der Sicherheitswarnung nachlesbar. Betreiber des Apache Webservers sollten diesen daher unverzüglich auf die Version 2.4.39 aktualisieren. In der Sicherheitswarnung werden weitere geschlossene Bugs beschrieben. The Hacker News hat einen Artikel mit Details veröffentlicht.