Понедельник, 6 июля, 21:54
дома безопасность Ошибка на HTTP-серверах Apache, дает root-доступ хакерам

Ошибка на HTTP-серверах Apache, дает root-доступ хакерам

апаш

Самый распространенный веб сервер Apache HTTP, похоже, исправил серьезную уязвимость, которая позволяет Хакеры или вредоносные программы, получить неограниченный контроль над машиной.

Эта ошибка называется CVE-2019-0211, это локальная ошибка повышения привилегий, которая означает, что она позволяет человеку или программному обеспечению, которое уже имеет ограниченный доступ к серверу, получать привилегии root. Оттуда злоумышленник может сделать почти все в одной системе. По словам Чарльза Фола, исследователя, обнаружившего ошибку, уязвимость позволяет неавторизованным злоумышленникам заменять чувствительные части памяти сервера. Вредоносный скрипт может использовать уязвимость для получения root-доступа.

Уязвимость создает наибольший риск для установок веб-хостинга, которые предлагают общие впечатления, когда машина предоставляет контент для более чем одного сайта. Как правило, эти серверы не позволяют администратору сайта получать доступ к другим сайтам или получать доступ к конфиденциальным настройкам самого компьютера.

«Если один из пользователей успешно воспользуется этой уязвимостью, он получит полный доступ к серверу, а также к веб-хостеру», - сказал Фол. «Это включает чтение / запись / удаление файла / базы данных любого другого пользователя».

Другой возможный сценарий для использования - это случай, когда злоумышленник, использующий другую атаку, получает только ограниченные привилегии на сервере под управлением Apache. Если сервер уязвим для CVE-2019-0211, злоумышленник может воспользоваться недостатком, чтобы увеличить эти ограниченные права доступа к root.

Уязвимость затрагивает только версии Apache 2.4.17 для 2.4.38 при работе в UNIX-подобных системах. По данным компании по обеспечению безопасности Rapid7, около миллиона различных систем 2 были уязвимы для CVE-2019-0211, хотя, скорее всего, были обновлены после публикации ошибки.

ОСТАВИТЬ ОТВЕТ

Пожалуйста, введите ваш комментарий!
Пожалуйста, введите ваше имя здесь

Отсутствующая Миа
Отсутствующая Миаhttps://www.secnews.gr
Быть самим собой в мире, который постоянно пытается изменить вас, является вашим величайшим достижением

LIVE NEWS

Windows 10 2004: Несанкционированные настройки «блокируют» обновление

Пользователи сообщают, что у них есть проблема с Windows 10, так как они исключены из приложения обновления от мая 2020 года, когда они вручную пытаются ...
00: 02: 04

Lenovo улучшает Linux ThinkPad, но проблемы остаются

В прошлом месяце, когда Lenovo объявила, что собирается сертифицировать серию ThinkPad для использования с операционными системами Linux, мы сразу подумали ...

Нигерии обвиняют в мошенничестве против американских компаний

Нигериец был доставлен в федеральный суд в Чикаго в пятницу после того, как его обвинили в координации международной системы кибер-мошенничества, которая затронула ...

Домашние маршрутизаторы отображают критические ошибки и запускают непатентованный Linux

Немецкий институт связи Фраунгофера (FKIE) провел опрос, в котором приняли участие 127 домашних маршрутизаторов семи различных брендов, чтобы ...

Выпуск iPhone 12: увидим ли мы его, наконец, к концу 2021 года?

Новые данные о выпуске iPhone 12, который, как мы все ожидаем, не произойдет в сентябре, говорят о том, что он будет только отложен ...

MySQL: заменяет термины, которые усиливают расовую дискриминацию

Разработчики базы данных MySQL объявили, что будут заменять такие термины, как master, slave, blacklist и whitelist.

Генеральный директор инвестиционной компании криптовалюты обманывал

Как сообщает News24, Вилли Бридт, основатель VaultAge Solutions (криптовалютная инвестиционная компания), объявил о банкротстве на прошлой неделе и ...

Великобритания: исключит ли это Huawei из своих сетей 5G?

Правительство Великобритании получило отчет NCSC о Huawei, который может изменить его политику ...

Инженер Yahoo не находится в тюрьме после взлома 6.000 учетных записей

Бывший инженер Yahoo был приговорен к пяти годам тюрьмы за взлом личных аккаунтов ...

PoC-уязвимости, выпущенные для критической уязвимости на устройствах F5 BIG-IP

PoC-эксплойты, выпущенные для критической уязвимости в устройствах F5 BIG-IP Через два дня после публикации информации о критической уязвимости в F5 ...