Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Eskalacja uprawnień do root w HTTP serwerze Apache. Łatajcie!
Opis podatności CVE-2019-0211 tutaj:
Flaw in Apache HTTP Server 2.4.17 – 2.4.38 allows anyone you allow to write a script (PHP, CGI,..) to gain root. Get 2.4.39 *now* especially if you have untrusted script authors or run shared hosting (or use mod_auth_digest, due to a separate flaw)
Czyli mając dostęp do użytkownika mającego możliwości uruchamiania np. skryptów PHP (z normalnymi uprawnieniami typu www-data), możemy eskalować uprawnienia do roota. Więcej szczegółów prawdopodobnie pojawi się niebawem (niektórzy piszą że całości nie da się wyeksploitować przez CGI).
Dystrybucje Linuksa zastanawiają się co z tym zrobić.
–ms
Dać wersję 2.4.39 wszystkim stabilnym wydaniom dystrybucji. Ewentualnie dać instrukcję dla każdej dystrybucji, w jaki sposób krok po kroku zaktualizować ręcznie apache2/httpd.