近日,安全中心监测到 Apache HTTP Server 组件被曝存在本地提权漏洞(漏洞编号:CVE-2019-0211),攻击者可利用该漏洞上传恶意 CGI 脚本造成目标系统的提权攻击,Linux/Unix 平台下的 Apache 2.4.17 到 2.4.38 版本均在受影响范围。
       为避免您的业务受影响,安全中心建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
【漏洞详情】
  在 Apache HTTP Server 组件 2.4.17 到 2.4.38 版本中,MPM(多进程处理模块)工作模式无论是event、worker、还是prefork模式,低权限运行的进程或线程均通过操控计分板的方式以父进程的权限(通常为root权限)执行任意代码。

目前该漏洞主要影响 Linux/Unix 系统,Windows Apache 版本不在受影响之列。

【风险等级】
   高风险
【漏洞风险】
   本地提权
【影响版本】
   Apache HTTP Server 2.4.38, 2.4.37, 2.4.35, 2.4.34, 2.4.33, 2.4.30, 2.4.29, 2.4.28, 2.4.27, 2.4.26, 2.4.25, 2.4.23, 2.4.20, 2.4.18, 2.4.17
【安全版本】
   Apache HTTP Server 2.4.39
【修复建议】
   如果您Apche HTTP服务为官方源码方式安装,建议您参照上述【安全版本】编译安装升级到对应的最新版本
   目前最新版本下载链接:https://httpd.apache.org/download.cgi#apache24
   目前Redhat、Ubuntu官方处于内部评估阶段,暂未发布相应修复版本,请关注发行厂商官方公告,腾讯云官方源也将在发布后第一时间更新官方软件源,请您保持关注。
【漏洞参考】