باگ جدید Apache دسترسی سطح root برای مهاجم را افزایش داد
یک آسیبپذیری افزایش سطح دسترسی با درجه حساسیت مهم در Apache HTTP Server کشف شده است.
به گزارش حوزه دنیای ارتباطات گروه فضای مجازی باشگاه خبرنگاران جوان، یک آسیبپذیری افزایش سطح دسترسی با درجه حساسیت مهم در Apache HTTP Server کشف شده است که به مهاجم اجازه میدهد تا با نوشتن و اجرای اسکریپت، دسترسی سطح root در سیستمهای Unix بدست آورد. این آسیبپذیری در نسخه Apache httpd ۲,۴.۳۹ رفع شده است.
به نقل از پایگاه اینترنتی BleepingComputer، آسیبپذیری افزایش دسترسی با شناسه CVE-۲۰۱۹-۰۲۱۱ ردیابی میشود که تمامی نسخههای ۲,۴.۱۷ تا ۲.۴.۳۸ در Apache HTTP Server را تحت تاثیر قرار میدهد و امکان اجرای کد را فراهم میکند.
به گفته کارشناسان، این آسیبپذیری زمانی که وب سرور برای هاستهای اشتراکی استفاده شود و اگر کاربران با دسترسی نوشتن اسکریپ غیرقابل اعتماد باشند، جدی تلقی میشود. همچنین کاربرانی که دسترسی آنها محدود است نیز میتوانند با استفاده از اجرای اسکریپ دسترسی خود را تا سطح root افزایش دهند و دستور دلخواه در سرور Apache آسیبپذیر اجرا کنند.
در بروزرسانی منتشر شده برای Apache HTTP Server، پنج آسیبپذیری دیگر نیز رفع شده است که دو مورد آنها دارای درجه حساسیت مهم هستند. نقص اول CVE-۲۰۱۹-۰۲۱۷ است که نسخههای بین ۲,۴.۰ تا ۲.۴.۳۸ را در httpd تحت تاثیر قرار میدهد.
این نقص به مهاجم اجازه میدهد تا با استفاده از اطلاعات احرازهویت معتبر با نامکاربری دیگری احرازهویت کند و محدودیتهای کنترل دسترسی پیکربندی شده را دور بزند. نقص بعدی CVE-۲۰۱۹-۰۲۱۵ است که نسخههای بین ۲.۴.۳۷ تا ۲.۴.۳۸ را تحت تاثیر قرار میدهد و باعث دور زدن محدودیتهای کنترل دسترسی پیکربندی شده میشود. سه آسیبپذیری دیگر CVE-۲۰۱۹-۰۱۹۷، CVE-۲۰۱۹-۰۱۹۶ و CVE-۲۰۱۹-۰۲۲۰ هستند که دارای درجه حساسیت پایین هستند.
انتهای پیام/
