CVE-2019-0211 is een nieuwe kwetsbaarheid in Apache HTTP Server-software. De bug die werd ontdekt door Ambionics security-onderzoeker Charles Fol is al opgelost in de nieuwste versie van de software, 2.4.39.
De update moet onmiddellijk worden toegepast – de Apache HTTP server is een van de meest gebruikte webservers, voeden van bijna 40 procent van het internet.
CVE-2019-0211 Officiële Beschrijving
In Apache HTTP Server 2.4 releases 2.4.17 aan 2.4.38, met MPM event, werker of prefork, code uitgevoerd in minder bevoorrechte kind of threads (inclusief scripts uitgevoerd door een in-process scripting interpreter) kan willekeurige code met de privileges van de ouderproces (meestal wortel) door het manipuleren van het scorebord. Non-Unix-systemen worden niet beïnvloed.
Dit betekent dat de kwetsbaarheid van invloed op Apache HTTP Server-versies van 2.4.17 aan 2.4.38. Kortom, een exploit waardoor minder bevoorrechte gebruiker willekeurige code met root rechten op kwetsbare servers.
Volgens de onderzoeker eigen verslag, de exploitatie van CVE-2019-0211 heeft vier stappen.
De eerste stap is het R / W toegang werknemer te verkrijgen, schrijf dan een nep prefork_child_bucket structuur in de SHM. De volgende stap vereist maken all_buckets[emmer] wijs de structuur. En tenslotte, de aanvaller zal moeten wachten 6:25AM om een willekeurige functie aan te roepen krijgen.
Het voordeel van de exploit is dat de belangrijkste proces nooit uitgangen, zodat we weten waar alles is in kaart gebracht door het lezen / proc / self / maps (ASLR / PIE nutteloos). "Wanneer een werknemer overlijdt (of segfaults), wordt automatisch gestart door het hoofdproces, dus er is geen gevaar voor het doseren van Apache,”Voegde de onderzoeker.
Een probleem van de exploit is dat “PHP niet mogelijk te lezen / schrijven / proc / self / mem, welke blokken ons van gewoon de SHM bewerken – all_buckets wordt toegewezen na een nette herstart (!)".
Het lijkt erop dat het probleem meer is met betrekking tot voor shared web hosting services, waar de dreiging acteurs met de mogelijkheid om PHP of CGI-scripts uit te voeren op een website kan de fout gebruiken om root-toegang op de server te krijgen. Dit zou uiteindelijk alle andere websites gehost op dezelfde server in gevaar brengen.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: