Обнаружена опасная уязвимость в web-сервере Apache

Опубликованы исправления для уязвимости в web-сервере Apache. Ошибка позволяла локальным пользователям получить полномочия суперпользователя.

При перезапуске процессов веб-сервера (а это по умолчанию делается в Linux-системах раз в сутки) при многопроцессном (MPM-prefork) режиме использования из-за ошибки проверки размера массива можно было получить права управляющего процесса, который обычно запущен из-под суперпользователя. Для этого требовалось внести изменения в память процессов web-сервера, обслуживающих запросы пользователей.

Подробное описание уязвимости и способ её использования доступны по ссылке.

Ошибка присутствовала в коде веб-сервера начиная с вышедшей в 2015 году версии 2.4.15. Уязвимости присвоен идентификатор CVE-2019-0211 и название CARPE DIEM (с латыни - "лови момент"). Первая часть - аббревиатура от CVE-2019-0211 Apache Root Privilege Escalation, а вторая намекает на возможность использования уязвимости раз в сутки.

Исправления вошли в версию 2.4.39.


Возврат к списку