Nasza strona używa cookies. Dowiedz się więcej o celu ich używania i zmianie ustawień w przeglądarce. Korzystając ze strony, wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki. Rozumiem

Luka w zabezpieczeniach Apache zagrożeniem dla nieaktualizowanych serwerów

Michael Litwin Content Writer / bulldogjob.pl
Wersja 2.4.39 łata 3 poważne luki w bezpieczeństwie serwera Apache.
Luka w zabezpieczeniach Apache zagrożeniem dla nieaktualizowanych serwerów

Mark J Cox, Wiceprezydent do spraw bezpieczeństwa w Apache Software Foundation, apeluje na twitterze do użytkowników Otwartego Serwera  HTTP Apache o jak najszybszy update do wersji 2.4.39.

Apache HTTP Web Server to wciąż najpopularniejszy otwarty serwer HTTP. Apache odegrał kluczową rolę w początkowym rozwoju internetu, szybko wyprzedzając konkurencję jako dominujący serwer HTTP. W 2009 roku stał się pierwszym oprogramowaniem obsługującym ponad 100 milionów stron internetowych. Obecnie, ok 43% stron internetowych stoi na serwerze Apache.

Nietypowo, łatka wydana pierwszego kwietnia jest skierowana do bardzo szerokiej gamy wersji, od 2.4.17 do ostatniej 2.4.38. Trzy ze znalezionych problemów w wersji 2.4.17 stanowią krytyczne ryzyko dla bezpieczeństwa.


CVE-2019-0211 lub CARPE DIEM

Krytyczna luka do jak najszybszego załatania to CVE-2019-0211. Luka została odkryta i zgłoszona do Apache przez badacza Charlesa Fola, inżyniera bezpieczeństwa w Ambionics Security.

Apache jest podatne na lokalną eskalację uprawnień do roota, ze względu a błąd out-of-bounds array access, co umożliwia wywołanie złośliwej funkcji. - napisał Fol w swoim poradniku. Fol nazwał odkrytą przez siebie lukę. CVE-2019-0211 Apache Root Privilege Escalation - CARPE. W opisie luki Fol wskazał, że całość jest uruchamiana przez restart Apache (apache2ctl graceful), którego wymaga np. często używany w środowiskach linuksowych logrotate., która uruchamia się raz dziennie w celu ponownego zapisu plików dziennika - stąd DIEM .

Luka w serwerze Apache HTTP Server 2.4.17 - 2.4.38 pozwala każdemu zezwolić na napisanie skryptu (PHP, CGI, ...) w celu uzyskania roota - napisał na Twitterze Mark Cox. - Zaaktualizuj do 2.4.39 * teraz *, zwłaszcza jeśli masz niezaufanych autorów skryptów lub hosting współdzielony.


CVE-2019-0217

Simon Kappel, badacz bezpieczeństwa w Apache, z kolei znalazł lukę CVE-2019-0217, która również została uznana za ważną i naprawioną w wersji 2.4.39.

W wersji 2.4.38 i wcześniejszych, wyścig w mod_auth_digest, który pojawiał się przy pracy serwera w trybie wielowątkowym, pozwalał  użytkownikowi z prawidłowymi danymi logowania na autentykację, używając innej nazwy użytkownika, tym samym omijając ustawienia kontroli dostępu, Kappel ostrzega w oficjalnym poradniku.

Wyścig (Race Condition) to w tym wypadku defektu oprogramowania, w którym współdzielone dane są dostępne przez wiele równoległych wątków bez odpowiedniej ochrony dostępu do danych.


CVE-2019-0215

Trzecią krytyczną luką załataną w aktualizacji Apache 2.4.39 jest CVE-2019-0215, która jest wadą obejścia kontroli dostępu SSL. Moduł mod_SSL w Apache jest odpowiedzialny za obsługę szyfrowania SSL / TLS (Secure Sockets Library / Transport Layer Security). Według Apache błąd CVE-2019-0215 ​​mógł potencjalnie umożliwić osobie atakującej obejście ograniczeń kontroli dostępu.


Jak poważne jest zagrożenie?

Rapid7 również apeluje o jak najszybszy update i donosi, że ponad 2 miliony serwerów jest zagrożonych, a aż połowa z nich znajduje się w USA i Europie.

Chociaż nie jest to luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu (RCE), zapewnia ona atakującym możliwość wykonywania działań, których większość dostawców hostingu unika. Dostawcy powinny rozważyć zastosowanie poprawki Apache jak najszybciej. A jeśli hostują swoje witryny we współdzielonym hostingu, które są najbardziej zagrożone, powinno wpłynąć na swoich dostawców, aby zaktualizowali tak szybko, jak to możliwe, lub rozważyć przejście na innego dostawcę, lub platformę. - Piszę Bob Rudis, Chief Security Data Scientist w Rapid7.

Na razie nic nie wskazuje na to, by załatane obecnie problemy były dotychczas gdziekolwiek wykorzystane w złośliwy sposób. Dokumentacja o zagrożeniach została jednak opublikowana po udostępnieniu aktualizacji, dlatego z każdym dniem, nieaktualizowane serwery stają się coraz bardziej zagrożone.


Jeżeli korzystasz z Apache, nie zwlekaj! Update dostępny jest oczywiście na stronie Apache.

Masz coś do powiedzenia?

Podziel się tym z 120 tysiącami naszych czytelników

Dowiedz się więcej
Rocket dog