Apache Bug Lets Normal Users Gain Root Access Via Scripts

Apache HTTP ได้ปล่อย httpd 2.4.39 เพื่อแก้ปัญหาช่องโหว่ที่พบในเวอร์ชั่นก่อนหน้า

พบช่องโหว่การยกระดับสิทธิ์บน Apache HTTP อนุญาตให้ผู้ใช้ที่มีสิทธิ์ในการเขียนและเรียกสคริปต์บนเครื่อง สามารถสั่งรัน script ที่เป็นอันตรายโดยใช้สิทธิ์ root บนระบบ Unix ได้ (CVE-2019-0211) ส่งผลกระทบต่อ Apache HTTP Server ทุกรุ่นตั้งแต่ 2.4.17 ถึง 2.4.38

นอกจากนี้ยังมีการแก้ไขช่องโหว่ที่สำคัญ อีก 2 ช่องโหว่ซึ่งเป็นปัญหาการ bypass สิทธิ์ในการใช้งานเครื่อง โดยช่องโหว่แรก (CVE-2019-0217) ส่งผลให้ผู้ใช้งานสามารถใช้ชื่อผู้ใช้ และรหัสผ่านที่มีอยู่เพื่อเข้าถึงเครื่องโดยใช้สิทธิ์ของผู้ใช้งานคนอื่นได้ ช่องโหว่ที่ 2 (CVE-2019-0215) มีผลกระทบกับ Apache 2.4.37 และ Apache 2.4.38 เท่านั้น โดยเป็นปัญหาในส่วนของ mod_ssl บน TLSv1.3 ส่งผลให้ client สามารถข้ามข้อจำกัดเกี่ยวกับการควบคุมสิทธิ์ความปลอดภัยบนเครื่องได้ นอกจากนี้ยังมีการแก้ปัญหาความรุนแรงระดับต่ำ (low) อีก 3 รายการ CVE-2019-0197, CVE-2019-0196 และ CVE-2019-0220

ที่มา : bleepingcomputer