Apache HTTP Server组件提权破绽预警 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

Apache HTTP Server组件提权破绽预警

申博_新闻事件 申博 209次浏览 已收录 0个评论

腾讯安全科恩实验室:2018年IoT安全白皮书

近日,Aapche HTTP Server官方宣布了Aapche HTTP Server 2.4.39版本的更新,该版本修复了一个破绽编号为CVE-2019-0211提权破绽,破绽品级高危,依据深佩服平安团队剖析,该破绽影响严峻,进击者能够经由过程上传进击剧本在目的服务器上举行提权进击,该破绽在非*nix平台不受影响。

Apache HTTP Server组件引见

Apache HTTP Server源于NCSAhttpd服务器,于1995年推出,取名取自于“a patchy server”的读音,意义是充溢补钉的服务器,因为它是自由软件,以是赓续有人来为它开辟新的功用、新的特征、修正本来的缺点。Apache HTTP Server的特点是简朴、速度快、机能稳固,并可做代理服务器来运用。因为其跨平台和平安性优秀,自1996年4月以来,Apache HTTP Server一直是互联网上最受迎接的网络服务器。

到现在为止Apache HTTP Server的市场占有率达60%摆布,已经是天下运用排名第一的Web服务器软件。天下上许多有名的网站如Amazon、Yahoo!、W3 Consortium、Financial Times等都是Apache HTTP Server的产品。据统计,在环球局限内对互联网开放Apache HTTP Server服务器的资产数目多达9000万台,发明美国区域对外开放的Apache HTTP Server服务器数目排名第一,数目为2400万台,靠近环球总量的30%。排名第二与第三的分别是中国与韩国区域,其对外开放的Apache HTTP Server服务器数目分别为880万和670万台。

Apache HTTP Server组件提权破绽预警

图1  Apache HTTP Server环球局限内状况散布

(统计数据仅为对互联网开放的资产,本数据来源于FOFA。)

由以上数据统计看来,国内运用Apache HTTP Server服务器的运用基数很高,用户相称普遍,在国内,Apache HTTP Server运用量最高的三个省市是北京,浙江和辽宁,在北京的运用量最高,数目达2,740,303台,在浙江省的运用量也达100万以上,辽宁省的运用量达近90万,以是对Apache HTTP Server服务器的破绽提防就显得尤为重要了。

————————————-

申博网络安全巴士站

申博-网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。

————————————-

Apache HTTP Server组件提权破绽预警

图2  Apache HTTP Server服务器国内运用状况散布

(统计数据仅为对互联网开放的资产,本数据来源于FOFA。)

破绽形貌

在Apache HTTP Server 2.4发行版2.4.17到2.4.38中,无论是运用Apache HTTP Server 的MPM event形式、照样worker或prefork形式,在低权限的子历程或线程中实行的代码(包孕由历程内剧本诠释器实行的剧本)能够经由过程支配记分牌(scoreboard)来实行具有父历程(通常是Root历程)权限的恣意代码。非unix体系则不受影响。

影响局限

据统计,在环球局限内对互联网开放Apache HTTP Server服务器的资产数目多达9000万台,个中归属中国区域的受影响资产数目为800万台以上。

现在受影响的Apache HTTP Server版本:

Apache
HTTP Server 2.4.38, 2.4.37, 2.4.35, 2.4.34, 2.4.33, 2.4.30, 2.4.29,
2.4.28, 2.4.27, 2.4.26, 2.4.25, 2.4.23, 2.4.20, 2.4.18, 2.4.17

腾讯安全科恩实验室:2018年IoT安全白皮书


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明Apache HTTP Server组件提权破绽预警
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址