Apache-дағы жөнсіздік виртуалды хостинг үшін қауіп төндіреді

Apache Software Foundation әзірлеушілері Apache-дегі елеулі осалдықты түзеді. Белгілі бір жағдайларда пайдаланушы скрипттері root-құқықтар кодын орындау және серверді бақылау үшін пайдаланылуы мүмкін.

Осалдық CVE-2019-0211 идентификаторын алды және 2.4.17 нұсқасынан 2.4.38-ге дейін Unix-жүйелер үшін Apache қозғайды. Түзету 2.4.39 нұсқасының релизімен ұсынылды.

Әзірлеушілер Apache (мысалы, CGI скрипттері) аз басымдылықты еншілес процестері зиянды кодты ата-аналық процестің басымдылықтарымен орындай алатынын түсіндіреді. Apache httpd Unix-жүйелерінде root-басымдылықтарымен жұмыс істейтіндіктен, зиянды скриптті серверге орналастыра алған шабуыл жасаушы, CVE-2019-0211 жөнсіздігін пайдалана алады және осал Apache жұмыс істейтін барлық машинаға бақылау орната алады.

Әрине, жөнсіздік локалдық болып табылады, өйткені зиянды скриптті орналастыру үшін серверге қандай да бір қол жеткізу керек. Алайда мамандар қателік виртуалды хостингтер үшін қауіпті болуы мүмкін екендігін ескертеді: олардың инфрақұрылымына шабуыл жасау үшін зиянкес заңды есептік жазбаны тіркей алады (немесе қолданыстағы аккаунтты жариялай алады). CGI-скрипттің пайдалана отырып, шабуыл жасаушы серверді бақылауды басып қана қоймай, онымен осал машинаны бөлісетін басқа клиенттердің ақпаратына толық қол жеткізе алады. Зиянкес кез келген файлдарды немесе ДБ-ны көре, жоя және жүктей алады.

Алайда, жөнсіздік ортақ хостингпен байланысты емес Apache қоңдырғылары үшін өте қауіпті емес деп айтуға болмайды.Бұл қателікті пайдалану зиянкестерге бірден root-құқығын алуға мүмкіндік беретінің ұмытпау керек, ал әдетте Apache компрометациясы нәтижесінде шабуыл жасаушы әдеттегі аккаунтқа төмен басымдылықтары бар бақылауды алады.

Ақпарат көзі: xakep.ru