新聞資訊  快訊  焦點  財經  政策  社會
互 聯 網   電商  金融  數據  計算  技巧
生活百科  科技  職場  健康  法律  汽車
手機百科  知識  軟件  修理  測評  微信
軟件技術  應用  系統  圖像  視頻  經驗
硬件技術  知識  技術  測評  選購  維修
網絡技術  硬件  軟件  設置  安全  技術
程序開發  語言  移動  數據  開源  百科
安全防護  資訊  黑客  木馬  病毒  移動
站長技術  搜索  SEO  推廣  媒體  移動
財經百科  股票  知識  理財  財務  金融
教育考試  育兒  小學  高考  考研  留學
您當前的位置:首頁 > IT百科 > 安全防護 > 服務器

Apache HTTP Server多個安全漏洞預警

時間:2019-04-04 16:02:09  來源:  作者:
1. 安全漏洞公告

2019年4月1日,ApacheHTTP Server更新了包括權限提升在內的多個安全漏洞公告,參考:

https://httpd.apache.org/security/vulnerabilities_24.html

此次更新對應6個CVE:CVE-2019-0211、CVE-2019-0217、CVE-2019-0215、CVE-2019-0197、CVE-2019-0196、CVE-2019-0220。

根據公告,CVE-2019-0211為權限提升漏洞,該漏洞主要存在Apache HTTPServer 2.4.17到2.4.38版本中,在MPM的event、worker和prefork三種模式下,低權限的子進程或線程(包括進程內腳本解釋器執行的腳本)中執行的代碼,可以通過操作記分板(scoreboard)以父進程(通常是root)的權限執行任意代碼,從而實現提權效果,建議及時關注安全更新補丁和相應緩解措施。

2. 漏洞相關描述

2.1. CVE-2019-0211

根據分析,在Unix系統中運行的Apache HTTP Server 2.4.17到2.4.38版本,低權限的子進程或線程可以通過操作記分板(scoreboard)以父進程(通常是root)的權限執行任意代碼,從而實現提權效果,可能導致越權訪問或執行惡意代碼。

2.2. CVE-2019-0217
根據分析,在Apache HTTP Server 2.4.38及之前版本中,mod_auth_digest模塊存在條件競爭漏洞,可能允許具有有效憑據的用戶使用另一個用戶名進行身份驗證,從而繞過已配置的訪問控制限制。

2.3. CVE-2019-0215
根據分析,在Apache HTTP Server 2.4.37和2.4.38版本中,mod_ssl模塊在使用TLSv1.3對客戶端證書進行驗證時,Post-Handshake認證的客戶端可能繞過已配置的訪問控制限制。

3. 漏洞影響范圍

3.1. 影響版本
CVE-2019-0211影響版本:

2.4.38, 2.4.37, 2.4.35, 2.4.34, 2.4.33, 2.4.30,2.4.29, 2.4.28, 2.4.27, 2.4.26, 2.4.25, 2.4.23, 2.4.20, 2.4.18, 2.4.17

建議更新到2.4.39以上版本。

CVE-2019-0217影響版本:

2.4.38, 2.4.37, 2.4.35, 2.4.34, 2.4.33, 2.4.30,2.4.29, 2.4.28, 2.4.27, 2.4.26, 2.4.25, 2.4.23, 2.4.20, 2.4.18, 2.4.17, 2.4.16,2.4.12, 2.4.10, 2.4.9, 2.4.7, 2.4.6, 2.4.4, 2.4.3, 2.4.2, 2.4.1, 2.4.0

建議更新到2.4.39以上版本。

CVE-2019-0215影響版本:

2.4.38, 2.4.37

建議更新到2.4.39以上版本。

其他早期版本:

Apache httpd 2.2,2017年12月后不再維護安全更新;

Apache httpd 2.0,2013年后不再維護安全更新;

Apache httpd 1.3,2010年后不再維護安全更新;

建議更新到2.4.39以上版本。

其他發行版:

一些linux發行版中自帶有httpd包,比如Red Hat,目前廠商還在評估影響中,參考:

https://access.redhat.com/security/cve/cve-2019-0211

3.2. 影響分布
通過安恒研究院SUMAP平臺針對全球Apache HTTPServer服務的資產情況統計,最新查詢分布情況如下:

Apache HTTP Server多個安全漏洞預警

通過安恒研究院SUMAP平臺針對國內Apache HTTP Server服務的資產情況統計,最新查詢分布情況如下:


4. 漏洞緩解措施

4.1. 威脅等級

高危:攻擊者成功利用漏洞可能導致權限提升效果,從而實現越權訪問或執行惡意代碼等威脅。

4.2. 安全建議
歷史上Apache HTTP Server報過多次漏洞,建議使用該組件的企業和單位及時關注廠商安全更新補丁發布,對于還在運行官方已不再維護安全更新的2.2之前早期版本,建議更新到新的無漏洞版本或是部署必要的安全防護設備攔截惡意攻擊。

官方下載:

https://httpd.apache.org/download.cgi

本文轉自 安恒應急響應中心

 


Tags:   點擊:()  評論:()
聲明:本站部分內容來自互聯網,內容觀點僅代表作者本人,如有任何版權侵犯請與我們聯系,我們將立即刪除。
▌相關評論
發表評論 共有條評論
用戶名: 密碼:
驗證碼: 匿名發表
▌相關推薦
首先安裝我是用的pycharm所以另為的腳本安裝我這就不介紹了。 如上圖打開默認設置選擇Project Interprecter,雙擊pip或者點擊加號,搜索要安裝的第三方庫。其中如果建立的項...【詳細內容】
2019-07-26     點擊:(2)  評論:(0)  加入收藏
隨著互聯網的發展,基于互聯網發展的企業和創業者是越來越多,互聯網和傳統的行業相比有所不同,它成本低,見效快。但是許多網絡投資者卻投入大量的資金去做網絡營銷,卻忽視了SEO優...【詳細內容】
2019-07-26     點擊:(1)  評論:(0)  加入收藏
tag標簽在SEO優化之中并不少見,很多網站在對相同性質的相關內容進行歸類的時候都會使用到tag標簽,以此來集中產生相關內容的聚合,進而讓該標簽的關鍵詞在搜索引擎中壓倒單頁...【詳細內容】
2019-07-26     點擊:(3)  評論:(0)  加入收藏
華為早前宣布由七月至八月,多個型號的華為手機將陸續獲得 EMUI 9.1 的更新,首批獲更新的手機為 華為 Mate 20 系列。不過若單從更新版本來看,EMUI 9.0 升至 9.1 看似僅是小升級...【詳細內容】
2019-07-26     點擊:(3)  評論:(0)  加入收藏
1.MySQL中常用工具1.1 mysql該mysql不是值mysql服務,而是指mysql的客戶端工具。語法 :mysql [options] [database]1.1.1連接選項 1.1.2 執行選項-e, --execute=name : 執行sql...【詳細內容】
2019-07-26     點擊:(1)  評論:(0)  加入收藏
Hi, kids! Thank you for having me here again. You know, tomorrow is my birthday. I’m going to have a birthday party in my house tomorrow night. Can you...【詳細內容】
2019-07-26     點擊:(1)  評論:(0)  加入收藏
[PConline 導購]還有一個多月,許多萌新就要開啟夢寐以求的大學生活啦!不管你是哪個專業的學生,電腦都是必備工具。完成老師布置的作業、查資料、寫論文、打游戲、看電影或是刷...【詳細內容】
2019-07-26     點擊:(1)  評論:(0)  加入收藏
店鋪寶貝的的搜索流量會受哪些因素影響,搜索權重又受哪些因素影響,今天我們就來仔細分析一下。觸發搜索的參數1.寶貝實時權重寶貝的實時權重的重要性在今年再一次被強化,也就...【詳細內容】
2019-07-26     點擊:(1)  評論:(0)  加入收藏
干貨!一步教你選擇合格關鍵詞關鍵詞:標題組合適用類目:全行業大中小類目適用店鋪:全淘寶、天貓流量店鋪摘要:在淘寶里面,寶貝最關鍵的三要素就是寶貝主圖、寶貝標題、寶貝詳情頁,可...【詳細內容】
2019-07-26     點擊:(1)  評論:(0)  加入收藏
隨著京東商品數量的增長,京東搜索怎樣排序?如何做可以讓商品得到更多曝光機會是各個商家特別關心的事情。與其他電商搜索類似,京東搜索排序就是將匹配關鍵詞的商品按照對消費者...【詳細內容】
2019-07-26     點擊:(1)  評論:(0)  加入收藏
現在都在講網絡營銷,那么網絡營銷具體都包括哪些呢?其實網絡營銷指的不單指線上營銷,而是指通過互聯網來實現的營銷,如SEO、SEM、新媒體、電商等,都算作網絡營銷的范疇。 而搜索...【詳細內容】
2019-07-26     點擊:(2)  評論:(0)  加入收藏
電腦病毒一旦入侵到我們的電腦中,需要加載才能造成破壞,因為一個沒有加載啟動的病毒是沒有什么危害的。那么,病毒在進入電腦系統之后,不通過用戶雙擊,會有怎樣的辦法讓自己自動...【詳細內容】
2019-07-26     點擊:(5)  評論:(0)  加入收藏
Go 語言是靜態類型語言,雖然它也可以表現出動態類型,但是使用一個嵌套的 map[string]interface{} 在那里亂叫會讓代碼變得特別丑。通過掌握語言的靜態特性,我們可以做的更好。...【詳細內容】
2019-07-26     點擊:(2)  評論:(0)  加入收藏
眾所周知,Vue目前越來越熱門,被很多開發人員采用,因此其生態也越來越完善,相關的工具和庫也很豐富。這主要得益于:Vue的學習曲線,清晰的設計結構和使用文檔,讓有經驗的開發人員從...【詳細內容】
2019-07-26     點擊:(2)  評論:(0)  加入收藏
1:基本概念面向對象編程是用抽象方式創建基于現實世界模型的一種編程模式。這句話的意思是:每個對象能夠接受信息,處理數據和發送消息給其他對象;這就意味著在這個編程模式下,每...【詳細內容】
2019-07-26     點擊:(2)  評論:(0)  加入收藏
SanicDB 是為 Python的異步 Web 框架 Sanic 方便操作MySQL而開發的工具,是對 aiomysql.Pool 的輕量級封裝。Sanic 是異步IO的Web框架,同時用異步IO讀寫MySQL才能更大發揮它的...【詳細內容】
2019-07-26     點擊:(3)  評論:(0)  加入收藏
原文:https://www.xncoding.com/2016/06/22/web/echarts.htmlECharts是一款由百度前端技術部開發的,基于Javascript的數據可視化圖表庫,提供直觀,生動, 可交互,可個性化定制的數...【詳細內容】
2019-07-26     點擊:(3)  評論:(0)  加入收藏
兩個路由器通過網線互聯,可以用于擴展無線信號的覆蓋范圍,實現家庭無線WiFi的全覆蓋。根據連接的端口不同,有兩種連接方式,副路由器可以作為交換機或者路由器使用。 方式1:...【詳細內容】
2019-07-26     點擊:(5)  評論:(0)  加入收藏
來源:58架構師1. 背景RocksDB是由Facebook公司開源的一款高性能Key Value存儲引擎,目前被廣泛應用于業界各大公司的存儲產品中,其中就包括58存儲團隊自研的分布式KV存儲產品WTa...【詳細內容】
2019-07-26     點擊:(0)  評論:(0)  加入收藏
說道站點logo很多站長都不陌生,他在百度搜索頁面上猶如明燈一般,用戶也對這樣的站點信賴度高,因為都知道只有大站才會開啟這樣的logo,其實我要說的是只要方法對一個月就能開...【詳細內容】
2019-07-26     點擊:(1)  評論:(0)  加入收藏
推薦資訊
相關文章
    無相關信息
欄目更新
欄目熱門
31选7开奖11185