Apache zaifligi tajovuzkorlarga serverni nazorat qilish imkonini beradi
Muammo umumiy veb-xosting xizmatlari uchun eng katta xavf tug’diradi.
Apache Software Foundation tadqiqotchilari Apache HTTP Server 2.4 da jiddiy zaiflikni tuzatdilar, bu esa ma’lum holatlarda superuser imtiyozlari bilan kodni bajarishga imkon berishi va serverni boshqarishni o’z zimmasiga olishi mumkin.
Muammo (CVE-2019-0211) faqat Apache’ning Unix versiyalariga (Apache 2.4.17 dan 2.4.38 gacha) ta’sir qiladi va kamroq imtiyozli foydalanuvchiga maqsadli serverda root imtiyozlari bilan kodni bajarishga imkon beradi. Ishlab chiquvchilarning fikriga ko’ra, kamroq imtiyozli Apache bola jarayoni (masalan, CGI skripti) ota-ona jarayonining imtiyozlari bilan kodni bajarishi mumkin. Apache veb-serveri ko’pgina Unix tizimlarida root imtiyozlari bilan ishlayotganligi sababli, Apache serveriga zararli CGI skriptini kiritgan har qanday tajovuzkor zaiflikdan foydalanishi va butun tizimni boshqarishni qo’lga kiritishi mumkin.
Muammo umumiy veb-xosting xizmatlari uchun eng katta tahdiddir. CVE-2019-0211 mahalliy zaiflik bo’lib, undan foydalanish uchun tajovuzkor dastlab serverga kirish huquqiga ega bo’lishi kerak (o’z akkauntini yaratish yoki mavjud akkauntlarni buzish orqali). Keyin ular zararli PHP yoki CGI skriptini yuklashlari va serverda joylashgan veb-saytlarni buzishlari yoki mashinada saqlangan boshqa mijozlarning ma’lumotlarini o’g’irlashlari mumkin.
Ushbu zaiflik Apache httpd 2.4.39 da allaqachon tuzatilgan. Yuqorida aytib o’tilgan zaiflikdan tashqari, yangilanish bir qator boshqa unchalik jiddiy bo’lmagan xatolarni, jumladan, kirish cheklovlarini chetlab o’tishga imkon beruvchi zaifliklarni (CVE-2019-0217 va CVE-2019-0215) ham tuzatadi. Foydalanuvchilarga yangilanishni iloji boricha tezroq o’rnatish tavsiya etiladi.
