服务公告

全部公告 > 安全公告 > 关于Apache HTTP Server权限提升漏洞(CVE-2019-0211)的安全预警

关于Apache HTTP Server权限提升漏洞(CVE-2019-0211)的安全预警

2019-04-03

一、概要

近日,Apache官方发布了Apache HTTP Server 2.4.39更新版本,修复了多个安全漏洞,其中包含一个严重级别的提权漏洞(CVE-2019-0211)。成功利用此漏洞可造成目标系统中低权限的子进程或线程(包括进程内脚本解释器执行的脚本)以高权限(通常为root权限)执行任意代码,从而实现提权攻击。漏洞影响Linux和Unix平台下的Apache 2.4.17到2.4.38版本。

华为云提醒各位租户及时安排自检并做好安全加固。

利用漏洞:CVE-2019-0211

参考链接:

https://httpd.apache.org/security/vulnerabilities_24.html#CVE-2019-0211

https://access.redhat.com/security/cve/cve-2019-0211

https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-0211.html

二、威胁级别

威胁级别:【严重】

(说明:威胁级别共四级:一般、重要、严重、紧急。)

三、影响范围

Apache HTTP Server 2.4.38, 2.4.37, 2.4.35, 2.4.34, 2.4.33, 2.4.30, 2.4.29, 2.4.28, 2.4.27, 2.4.26, 2.4.25, 2.4.23, 2.4.20, 2.4.18, 2.4.17

四、修复方案

官方已在新版本Apache HTTP Server 2.4.39中修复了该漏洞,请受影响的租户尽快升级

Apache HTTP Server 2.4.39下载链接:https://httpd.apache.org/download.cgi#apache24

请关注各Linux厂商相应的修复版本发布,华为云也会持续关注和更新

注意:修复漏洞前请将资料备份,并进行充分测试。