انتشار به‌روزرسانی Apache، برای آسیب‌پذیری‌های سرور HTTP

انتشار به‌روزرسانی Apache، برای آسیب‌پذیری‌های سرور HTTP

به‌روزرسانی امنیتی سرور HTTP از Apache برای رفع چندین آسیب‌پذیری امنیتی از جمله آسیب‌پذیری افزایش سطح دسترسی هم اکنون قابل انجام است. این آسیب‌پذیری‌ها به کاربران اجازه اجرای اسکریپت‌های PHP و CGI را برای به دست آوردن بالاترین سطح دسترسی در سیستم می‌دهد. افزایش سطح دسترسی Apache: این آسیب‌پذیری‌ بر تمامی نسخه‌های بین 2.4.17 تا 2.4.38 اثرگذار است و می‌توان برای اطلاع بیشتر آن را با شناسه CVE-2019-0211 بررسی کرد. کاربر با کمترین سطح دسترسی می‌تواند با استفاده از این آسیب‌پذیری‌ها، هر کد دلخواهی را بامجوزهای بالاترین سطح دسترسی اجرا کند. این آسیب‌پذیری فقط بر روی سیستم‌های یونیکس تاثیر دارد و سیستم‌های غیر یونیکس تحت تاثیر قرار نمی‌گیرند. دسترسی mod_auth_digest: این آسیب‌پذیری‌ تمامی نسخه‌های بین 2.4 تا 2.4.38 را تحت‌ تاثیر قرار می‌دهد و در mod_auth_digest، اجازه می‌دهد تا هر کاربر تایید هویت شده بتواند با استفاده از نام کاربری یک کاربر دیگر، احراز هویت شود. می‌توان برای اطلاع بیشتر آن را با شناسه CVE-2019-0217 بررسی کرد. دور زدن کنترل دسترسی mod_ssl: یک خطای موجود در mod_ssl به یک سرویس گیرنده با پشتیبانی از TLS 1.3 و با احراز هویت Post-Handshake، اجازه دور زدن محدودیت‌های کنترل دسترسی پیکربندی شده را می‌دهد. این آسیب‌پذیری برای نسخه‌های 2.4.37 و 2.4.38 منتشر می‌شود و آن را می‌توان با شناسه CVE-2019-0215 ردیابی کرد. نقص احتمالی و آسیب‌پذیری خواندن بعد از آزاد شدن در mod_http2: سرورهایی دارای H2Upgrade که h2 آن‌ها فعال است، تحت تاثیر این آسیب‌پذیری قرار دارند و اگر درخواستی را از http/1.1 به http/2 دریافت کنند، ممکن است منجر به نقص احتمالی و پیکربندی اشتباه شوند. پس کسانی که هرگز پروتکل H2 را فعال نکنند، تحت تاثیری این آسیب‌پذیری نخواهند بود. کنترل درخواست HTTP/2 در هنگام تشخیص نوع درخواست دریافتی و مقایسه رشته‌ها، به حافظه آزاد سیستم دسترسی پیدا می‌کند و در نتیجه درخواست‌های مخرب مخصوصاً اشتباه را پردازش می‌کرد. این آسیب‌پذیری را می‌توان با شناسه‌های CVE-2019-0197 و CVE-2019-0196 ردیابی کرد. نرمالیزاسیون URLهای Httpd: اگر مسیر URL حاوی چندین اسلش مختلف مانند LocationMatch و RewriteRule در عبارات منظم باشد، ممکن است باعث فروپاشی سرور شود. این آسیب‌پذیری نسخه‌های 2.4.0 تا 2.4.38 را تحت‌تاثیر قرار می‌دهد و می‌تواند با شناسه CVE-2019-0220 ردیابی شود. برای اطلاعات بیشتر از این بروزرسانی، می‌توانید به گزارش Apache که در منابع ذکر شده است، مراجعه کنید.