【漏洞预警】Apache HTTP 2.4服务器存在权限提升等多个漏洞

2019年4月3日，WebRAY安全研究中心在针对不同客户的Web应用进行安全监测时，发现Apache HTTP Server更新了多个安全漏洞公告，该公告表示Apache HTTP Server 2.4版本存在包括权限提升在内的多个漏洞，经检测，大量用户受到该类漏洞的影响。

Apache HTTP Server（简称Apache），是Apache软件基金会的一个开放源代码的网页服务器，可以在大多数电脑操作系统中运行，由于其具有的跨平台性和安全性，被广泛使用，是最流行的Web服务器端软件之一。2019年4月2日，Apache官方披露了Apache HTTP Server 2.4版本包括权限提升在内的多个漏洞的详细情况，经WebRAY安全研究中心研判，该漏洞可能影响大量使用该网页服务器的企业和单位，危害严重。

WebRAY安全研究中心将持续关注该漏洞进展，并将第一时间为您更新该漏洞信息。

1、漏洞基本信息

① Apache HTTP Server权限提升   

漏洞编号：

CVE-2019-0211

漏洞描述：

在Apache HTTP Server 2.4版本2.4.17到2.4.38中，以低权限运行的子进程和线程，通过利用操作记分板（scoreboard），可以凭借父进程（通常是root）的权限进行任意代码执行操作，从而达到提权效果，可能会触发越权访问和执行恶意代码等行为。非Unix系统则不受影响。

影响版本：

2.4.38、2.4.37、2.4.35、2.4.34、2.4.33、2.4.30、2.4.29、2.4.28、2.4.27、2.4.26、2.4.25、2.4.23、2.4.20、2.4.18、 2.4.17

漏洞分类：

权限提升隶属于权限提升漏洞类型

② mod_auth_digest访问控制旁路

漏洞编号：

CVE-2019-0217

漏洞编号：

在Apache HTTP Server 2.4 2.4.38及更早版本中，在线程服务器中运行时，mod_auth_digest中的竞争条件可能会允许具有有效凭据的用户使用另一个用户名进行身份验证，从而绕过配置过的访问控制限制。

影响版本：

2.4.38、2.4.37、2.4.35、2.4.34、2.4.33、2.4.30、2.4.29、2.4.28、2.4.27、2.4.26、2.4.25、2.4.23、2.4.20、2.4.18、2.4.17、2.4.16、2.4.12、2.4.10、2.4.9、2.4.7、2.4.6、2.4.4、2.4.3、2.4.2、2.4.1、2.4.0

漏洞分类：

访问控制旁路隶属于访问控制旁路漏洞类型

③ mod_ssl访问控制旁路

漏洞编号：

CVE-2019-0215

漏洞描述：

在Apache HTTP Server 2.4版本2.4.37和2.4.38中，当使用TLSv1.3进行客户端证书验证时，mod_ssl允许支持Post-Handshake验证的客户端绕过已配置的访问控制限制。

影响版本：

2.4.38、2.4.37

漏洞分类：

访问控制旁路隶属于访问控制旁路漏洞类型

2、漏洞等级

WebRAY安全研究中心风险评级：高危

3、时间轴线

1、2019-04-02 Apache官方发布漏洞更新

2、2019-04-03 WebRAY安全研究中心发布漏洞公告

4、修复建议

1、关注官方网站，及时更新至2.4.39以上版本。

2、及时对部署该服务的服务器进行版本更新和风险预控。

3、在服务器部署网站防护设备，对恶意攻击进行拦截和防护。