Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Eskalacja uprawnień do root w HTTP serwerze Apache. Łatajcie!

02 kwietnia 2019, 22:27 | W biegu | 1 komentarz

Opis podatności CVE-2019-0211 tutaj:

Flaw in Apache HTTP Server 2.4.17 – 2.4.38 allows anyone you allow to write a script (PHP, CGI,..) to gain root. Get 2.4.39 *now* especially if you have untrusted script authors or run shared hosting (or use mod_auth_digest, due to a separate flaw)

Czyli mając dostęp do użytkownika mającego możliwości uruchamiania np. skryptów PHP  (z normalnymi uprawnieniami typu www-data), możemy eskalować uprawnienia do roota. Więcej szczegółów prawdopodobnie pojawi się niebawem (niektórzy piszą że całości nie da się wyeksploitować przez CGI).

Dystrybucje Linuksa zastanawiają się co z tym zrobić.

–ms

 

 

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Adrian

    Dać wersję 2.4.39 wszystkim stabilnym wydaniom dystrybucji. Ewentualnie dać instrukcję dla każdej dystrybucji, w jaki sposób krok po kroku zaktualizować ręcznie apache2/httpd.

    Odpowiedz

Odpowiedz