据外媒报道,安全工程师Charles Fol发现Apache HTTP Server软件中存在权限提升漏洞,黑客可通过记分板操作执行任意代码2.4.17到2.4.38版本受影响。

图片来源于pixbay

该漏洞被跟踪为CVE-2019-0211,在Apache HTTP Server2.4.17至2.4.38版本中,黑客在低权限的子进程或线程中可以使用MPM event模型、worker或prefork模式,通过操纵记分板以父进程的权限(通常是root权限)执行任意代码。

图片来源于pixbay

据悉,Apache Web服务器为整个Internet提供了近40%的服务,当Web服务器用于运行共享托管实例时,CVE-2019-0211漏洞会带来严重风险。攻击者可通过上传CGI脚本,利用该漏洞获取服务器的root访问权限,最终危及其他所有托管在同一服务器上的网站。

图片来源于pixbay

截至目前,Apache开发人员在发布的最新版本2.4.39中修复了该漏洞,同时还修补了三个可能导致崩溃、免费读取和规范化不一致问题的低严重性漏洞,专家建议用户尽快升级版本以免遭受攻击

web root下放置图片_Apache HTTP存在提权漏洞,威胁共享Web主机安全性相关推荐

  1. Linux sudo 被曝提权漏洞,任意用户均能以 root 身份运行命令

    Linux 用户请注意!根据外媒的报道,Linux sudo 被曝出存在一个提权漏洞,可完全绕过 sudo 的安全策略. 先简单说明一下情况,报道指出 sudo 存在一个安全策略隐患,即便" ...

  2. bartender的安全策略不允许指定的用户执行此操作_Linux sudo 被曝提权漏洞,任意用户均能以 root 身份运行命令

    即便 /etc/sudoers 配置文件中明确表明不允许以 root 用户进行访问,但通过该漏洞,恶意用户或程序仍可在目标 Linux 系统上以 root 用户身份执行任意命令. 译自: https: ...

  3. 2019最有意思的五大 ZDI 案例之:通过调色板索引实现 Win32k.sys 本地提权漏洞 (下)...

     聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 本文是趋势科技 ZDI 项目推出的第二届年度最有意思的五大案例系列文章之一.他们从1000多份安全公告中遴选出这些案例,奇安信代码卫士 ...

  4. Redis配置不当致使root被提权漏洞

    Redis配置不当致使root被提权漏洞 Dear all~ 最近Redis服务被曝出因配置不当,可能造成数据库被恶意清空,或被黑客利用写入后门文件造成进一步入侵,请关注! 一.漏洞发布日期 2015 ...

  5. 9月29 Redis配置不当致使root被提权漏洞 | Found a swap file by the name swp

    1.Redis配置不当致使root被提权漏洞 建议修复方案(需要重启redis才能生效) 1.绑定需要访问数据库的IP 修改 redis.conf 中的 "bind 127.0.0.1&qu ...

  6. mysql mof提权原理_[原创]WEB安全第六章提权篇12 mof提权

    WEB安全第六章提权篇12 mof提权 1.mof是什么 托管对象格式 (MOF) 文件是创建和注册提供程序.事件类别和事件的简便方法.在 MOF 文件中创建类实例和类定义后,可以对该文件进行编译.编 ...

  7. Android提权root漏洞,【转】结合init源码剖析android root提权漏洞(CVE

    这篇文章是上一篇博客的后续分析,主要介绍向init进程发送热拔插信息后init进程的处理流程 首先我们来了解一个数据结构,uevent,如下 struct uevent { const char *a ...

  8. bartender的安全策略不允许指定的用户执行此操作_Linux sudo 被曝提权漏洞,任意用户均能以 root 身份运行命令...

    嵌入式linux QQ交流群:175159209,欢迎爱好者加入交流技术问题! Linux 用户要注意了!几乎所有基于 UNIX 和 Linux 的操作系统上安装的核心命令,也是最重要.最强大也最常用 ...

  9. Redis 配置不当致使 root 被提权漏洞

    漏洞描述 Redis 服务因配置不当,可被攻击者恶意利用.黑客借助 Redis 内置命令,可将现有数据恶意清空:如果 Redis 以 root 身份运行,黑客可往服务器上写入 SSH 公钥文件,直接登 ...

最新文章

  1. Ajax Upload多文件上传插件翻译及中文演示
  2. 我是如何在3个月内写出博士论文的?
  3. 光流 Motion Estimation
  4. 2013年中国高校网购实力排行榜
  5. nginx 支持php-fpm,nginx php-fpm安装配置以支持PHP
  6. C++ 加载Live2D官方Cubism SDK for Native
  7. 用freeze.py打包python程序成可执行程序(linux)
  8. 基与datatable的分页
  9. 如何“干净地”终止 Win32 中的应用程序
  10. 第六届蓝桥杯【省赛试题 7】牌型种数 - i 逆天耗子 - CSDN 博客
  11. sql查询月天数之和,函数相加
  12. ideal使用eclipse快捷键
  13. A/B test模块使用以及配置
  14. 双重认证 也不安全:Gmail、Yahoo mail 已被攻破!
  15. 说说命令提示符:tcping命令、tcp协议和ping命令
  16. java 对手机号码进行校验
  17. 前端vue生成二维码
  18. 一些U盘启动盘电脑热键的对应关系
  19. tensorflow正则化添加方法整理
  20. 16个博士回河南乡村创业,已有上市计划

热门文章

  1. 【hihocoder 1499】A Box of Coins
  2. Vue.js之初印象
  3. 上传文件时的后台处理
  4. Android Notification通知详解
  5. Unity时钟定时器插件
  6. PowerDesigner 学习
  7. 《孙子兵法》【火攻第十二】
  8. access 如何使用dolby_用Access开发《生产管理系统》
  9. hdb interface驱动是什么_Linux USB 鼠标驱动程序详解
  10. java wps_通过WPS和WID方便地使用Java构件