CVE-2019-0211

Apache HTTP Server

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2021-11-03

Официальное описание

Apache HTTP Server, with MPM event, worker or prefork, code executing in less-privileged child processes or threads (including scripts executed by an in-process scripting interpreter) could execute code with the privileges of the parent process (usually root) by manipulating the scoreboard.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость в модулях MPM (Multi-Processing Module) event, worker и prefork Apache HTTP Server. Атакующий, имеющий возможность выполнять код в дочернем процессе или потоке с низкими привилегиями (например, через скрипты CGI), может манипулировать структурой данных scoreboard в общей памяти (shared memory). Это позволяет перезаписать указатели функций и выполнить произвольный код с привилегиями родительского процесса (обычно root).

Как исправить

Обновите Apache HTTP Server до версии, содержащей исправление. Конкретные минимальные версии: * 2.4.39 (для ветки 2.4.x) * 2.4.38 с обратным портом патча (редко встречается)

Для Debian/Ubuntu:

sudo apt update
sudo apt install apache2

(Убедитесь, что установленная версия apache2 -v не ниже 2.4.39).

Для RHEL/CentOS 7/8:

sudo yum update httpd

Или, если используется dnf:

sudo dnf update httpd

(Убедитесь, что установленная версия httpd -v не ниже 2.4.39).

Для Windows: Обновите установщик Apache с официального сайта до версии 2.4.39 или выше. Конкретного номера KB для этой уязвимости нет.

После обновления обязательно перезапустите сервер:

sudo systemctl restart apache2   # Для Debian/Ubuntu
sudo systemctl restart httpd     # Для RHEL/CentOS

Временное решение

Если немедленное обновление невозможно, примите следующие меры:

  1. Измените пользователя/группу запуска Apache: Запустите основной процесс (root) от root, но настройте дочерние процессы на выполнение от непривилегированного пользователя. В конфигурации (httpd.conf или apache2.conf): apache User www-data Group www-data Убедитесь, что пользователь (например, www-data) имеет минимальные необходимые права на файлы.

  2. Ограничьте или отключите выполнение динамического контента: Если возможно, временно отключите модули, позволяющие выполнение стороннего кода (например, mod_cgi, mod_php в режиме обработчика внутри процесса Apache). Комментируйте или удаляйте соответствующие директивы LoadModule и конфигурации.

  3. Настройте WAF (Web Application Firewall): Настройте правила для блокировки подозрительных запросов, которые могут быть связаны с эксплуатацией уязвимостей уровня сервера. Используйте ModSecurity с актуальным набором правил (например, OWASP CRS).

  4. Минимизируйте сетевую доступность: Ограничьте доступ к веб-серверу только с доверенных IP-адресов с помощью брандмауэра (например, iptables, firewalld) или модуля mod_authz_host.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей