Clear
Lead Graphic Papers

ระวังภัย ช่องโหว่ใน Apache HTTP Server ผู้ใช้ทั่วไปสั่งรันสคริปต์เพื่อยึดเซิร์ฟเวอร์ได้ รีบแพตซ์ด่วน

วันที่ประกาศ: 3 เมษายน 2562
ปรับปรุงล่าสุด: 3 เมษายน 2562
เรื่อง: ระวังภัย ช่องโหว่ใน Apache HTTP Server ผู้ใช้ทั่วไปสั่งรันสคริปต์เพื่อยึดเซิร์ฟเวอร์ได้ รีบแพตซ์ด่วน

ประเภทภัยคุกคาม: Privilege Escalation

Share on Facebook Share on Twitter Share on Google+

ข้อมูลทั่วไป

Apache HTTP Server (มักเรียกกันในชื่อ Apache หรือ Apache httpd) เป็นโปรแกรมให้บริการเว็บไซต์ที่ได้รับความนิยมเป็นอันดับต้นๆ ของโลก โดยปัจจุบันมีเซิร์ฟเวอร์กว่า 40% ที่ใช้งาน Apache HTTP Server

เมื่อวันที่ 1 เมษายน 2562 ผู้พัฒนา Apache HTTP Server ได้ออกอัปเดตแก้ไขช่องโหว่ร้ายแรงประเภท privilege escalation ที่ส่งผลให้ผู้ใช้ที่มีสิทธิ์ระดับทั่วไปสามารถสั่งให้เซิร์ฟเวอร์ประมวลผลสคริปต์อันตรายแล้วได้สิทธิ์เป็น root ซึ่งเป็นสิทธิ์สูงสุดของระบบได้ หากโจมตีสำเร็จผู้ประสงค์ร้ายจะสามารถยึดเครื่องเซิร์ฟเวอร์ได้ ช่องโหว่นี้จะมีผลกระทบสูงหากใช้โจมตีในเซิร์ฟเวอร์ประเภท shared hosting ซึ่งเป็นการใช้เซิร์ฟเวอร์เครื่องเดียวให้บริการหลายเว็บไซต์ ช่องโหว่นี้มีรหัส CVE-2019-0211 [1] [2]

ข้อมูลรายละเอียดของช่องโหว่รวมถึงตัวอย่างการโจมตีถูกเผยแพร่สู่สาธารณะแล้ว ทั้งนี้ ช่องโหว่ดังกล่าวมีผลกระทบเฉพาะกับ Apache HTTP Server เวอร์ชันระบบปฏิบัติการ Unix/Linux [3]

ผลกระทบ

เซิร์ฟเวอร์ที่ใช้งาน Apache HTTP Server อาจถูกผู้ประสงค์ร้ายสั่งรันสคริปต์อันตรายเพื่อยึดเครื่องได้

ระบบที่ได้รับผลกระทบ

Apache HTTP Server เวอร์ชัน 2.4.17 ถึง 2.4.38 (เฉพาะที่รันบนระบบปฏิบัติการ Unix/Linux)

ข้อแนะนำในการป้องกันและแก้ไข

ทางผู้พัฒนา Apache HTTP Server ได้เผยแพร่ซอฟต์แวร์เวอร์ชัน 2.4.39 เพื่อแก้ไขช่องโหว่นี้แล้ว [4] โดยนอกจากช่องโหว่นี้แล้วยังมีการแก้ไขช่องโหว่ที่อีก 5 จุด ซึ่งมี 2 จุดเป็นช่องโหว่ข้อผิดพลาดในการยืนยันตัวตน ส่วนอีก 3 ช่องโหว่เกี่ยวข้องกับประสิทธิภาพการใช้งาน ผู้ดูแลระบบที่ใช้งาน Apache HTTP Server บนระบบปฏิบัติการ Unix ควรอัปเดตให้เป็นเวอร์ชัน 2.4.39 โดยเร็ว

อ้างอิง

  1. https://securityaffairs.co/wordpress/83225/hacking/cve-2019-0211-apache-flaw-allows-getting-root-access-via-script.html
  2. https://thehackernews.com/2019/04/apache-web-server-security.html
  3. https://cfreal.github.io/carpe-diem-cve-2019-0211-apache-local-root.html
  4. https://httpd.apache.org/security/vulnerabilities_24.html#CVE-2019-0211
Clear