关于ApacheHTTP Server存在提权高危漏洞的预警通报

近日，Apache官方发布安全更新，修复存在ApacheHTTP Server中的一个提权漏洞，漏洞编号：CVE-2019-0211，安全级别为“高危”。该漏洞影响广泛，现将事件详情通报如下：

一、漏洞情况

ApacheHTTPServer（简称Apache）是Apache软件基金会一个开源网页服务器并具有跨平台性和安全性，可在大多数电脑操作系统中运行。ApacheWeb服务器为整个Internet提供了近40％的服务。

ApacheHTTP Server存在提权高危漏洞，在Unix系统中拥有MPM事件，在worker、prefork工作模式或权限较低的子进程、线程（包括由进程内脚本解释器执行的脚本）中执行代码等低权限时，可通过操作计分板（Scoreboard,共享内存，主要用于父子进程之间的数据交换）获取其父进程（通常为Root）权限并执行代码。Web服务器用于运行共享托管实例时，该漏洞将带来严重风险。攻击者可通过上传CGI脚本，利用该漏洞获取服务器root访问权限，危及其他托管在同一服务器上的网站。

二、影响范围

Unix系统下的ApacheHTTP Server 2.4.17 - 2.4.38。

三、处置建议

尽快升级 ApacheHTTP Server 至 2.4.39版本。

附件：参考链接

https://httpd.apache.org/security/vulnerabilities_24.html#CVE-2019-0211