Cảnh báo Hacking

Apache tồn tại lỗ hổng đe dọa an ninh các máy chủ web

Người dùng vừa được cảnh bảo về một lỗ hổng quan trọng trong phần mềm Apache HTTP Server. Cảnh báo được Mark J Cox, một trong những thành viên sáng lập của Quỹ phần mềm Apache và dự án OpenSSL đưa ra.
Máy chủ web Apache là một trong những máy chủ web nguồn mở phổ biến nhất, được sử dụng rộng rãi trên thế giới.
Lỗ hổng này, CVE-2019-0211, đã được các nhà phát triển Apache vá trong phiên bản mới nhất 2.4.39.

Apache.JPG ​
Lỗ hổng ảnh hưởng đến Apache HTTP Server phiên bản 2.4.17 đến 2.4.38 và có thể cho phép bất kỳ người dùng ít đặc quyền thực thi mã tùy ý với quyền root trên máy chủ mục tiêu.

Theo Cox, lỗ hổng ảnh hưởng nhiều đến các dịch vụ lưu trữ web chia sẻ (shared hosting), cho phép kẻ xấu với khả năng thực thi các tập lệnh PHP hoặc CGI trên trang web có được quyền truy cập root trên máy chủ, cuối cùng truy cập được dữ liệu của website khác được lưu trữ trên cùng máy chủ.

Bên cạnh đó, phiên bản Apache httpd 2.4.39 mới nhất cũng vá hai vấn đề quan trọng và ba vấn đề có mức độ nghiêm trọng thấp. Hai lỗ hổng quan trọng, CVE-2019-0217 và CVE-2019-0215, đều cho phép vượt qua các hạn chế kiểm soát truy cập.

Các dịch vụ lưu trữ web, các tổ chức quản lý máy chủ riêng và quản trị viên trang web được khuyến khích nâng cấp các phiên bản Apache HTTP lên các phiên bản mới nhất càng sớm càng tốt.

Theo The Hacker News

Hits: 262