十多个Apache HTTP Server版本含有允许骇客取得最高权限漏洞

Apache软件基金会（Apache Software Foundation）近日修补了Apache HTTP Server上的一个严重漏洞，此一编号为CVE-2019-0211的安全漏洞属于本地端权限扩张漏洞，将允许骇客取得系统的最高权限以执行任意程式，从2015年10月发表的2.4.17到今年2月发表的2.4.38的十多个版本都遭殃，用户应尽快升级到4月1日释出的2.4.39。

此一漏洞可在Apache HTTP Server执行Gracefully Restart时被触发，允许在较低权限的子程序中运作的Event、Worker及Prefork等多工处理模组（MPM），借由摆布Scoreboard而能以父程序的权限执行任意程式。

虽然CVE-2019-0211仅影响UNIX类型的系统，但大多数的Apache HTTP Server都运作在UNIX系统上，特别是网络服务器。

资安业者Rapid7指出，此一权限扩张漏洞对于依然提供共享网络代管服务的供应商而言风险更高，因为这类的服务允许不同的网站共用同一个父Apache服务器。

因此，假设有骇客成功开采了该漏洞，他将取得服务器的最高权限，得以读取、写入或删除其它客户的档案或数据库。

Rapid7估计至少有200万个独立系统含有CVE-2019-0211漏洞，有19.3%位于AWS，8.6%位于Digital Ocean，还有5.9%位于OVH。若以区域来看，有77万的系统座落于美国，22.4万位于德国，并有11.1万位于法国。