Apache wydało aktualizację podatności w serwerach HTTP umożliwiającej eskalację uprawnień poprzez pisanie i uruchamianie skryptów w celu uzyskania roota na systemach Unix.
Podatność CVE-2019-0211 wpływa na wszystkie wersje serwera HTTP Apache od 2.4.17 do 2.4.38 i umożliwia wykonanie dowolnego kodu poprzez manipulację tablicą wyników. Dotyczy wyłącznie systemów opartych na Unix.
W aktualizacji Apache HTTP Server do wersji 2.4.39 naprawiono również dwie inne ważne podatności dotyczące obejścia kontroli bezpieczeństwa:
CVE-2019-0217 – wpływa na wszystkie wersje i umożliwia użytkownikowi prawidłowe poświadczenie do uwierzytelniania przy użyciu innej nazwy użytkownika, z pominięciem skonfigurowanych ograniczeń kontroli dostępu.
CVE-2019-0215 – wpływa na instalacje Apache 2.4.37 oraz 2.4.38 i pozwala klientowi obsługującemu uwierzytelnianie na ominięcie skonfigurowanych ograniczeń kontroli dostępu poprzez błąd w mod_ssl.
Apache httpd 2.4.39 załatał również trzy luki o niskiej ważności, które mogły prowadzić do awarii, problemów z odczytem lub brakiem zgodności z normalizacją.
Więcej informacji: https://www.bleepingcomputer.com/news/security/apache-bug-lets-normal-users-gain-root-access-via-scripts/