Apache HTTP Server多个安全漏洞预警

1. 安全漏洞公告

2019年4月1日，ApacheHTTP Server更新了包括权限提升在内的多个安全漏洞公告，参考：

https://httpd.apache.org/security/vulnerabilities_24.html

此次更新对应6个CVE：CVE-2019-0211、CVE-2019-0217、CVE-2019-0215、CVE-2019-0197、CVE-2019-0196、CVE-2019-0220。

根据公告，CVE-2019-0211为权限提升漏洞，该漏洞主要存在Apache HTTPServer 2.4.17到2.4.38版本中，在MPM的event、worker和prefork三种模式下，低权限的子进程或线程（包括进程内脚本解释器执行的脚本）中执行的代码，可以通过操作记分板（scoreboard）以父进程（通常是root）的权限执行任意代码，从而实现提权效果，建议及时关注安全更新补丁和相应缓解措施。

2. 漏洞相关描述

2.1. CVE-2019-0211

根据分析，在Unix系统中运行的Apache HTTP Server 2.4.17到2.4.38版本，低权限的子进程或线程可以通过操作记分板（scoreboard）以父进程（通常是root）的权限执行任意代码，从而实现提权效果，可能导致越权访问或执行恶意代码。

2.2. CVE-2019-0217
根据分析，在Apache HTTP Server 2.4.38及之前版本中，mod_auth_digest模块存在条件竞争漏洞，可能允许具有有效凭据的用户使用另一个用户名进行身份验证，从而绕过已配置的访问控制限制。

2.3. CVE-2019-0215
根据分析，在Apache HTTP Server 2.4.37和2.4.38版本中，mod_ssl模块在使用TLSv1.3对客户端证书进行验证时，Post-Handshake认证的客户端可能绕过已配置的访问控制限制。

3. 漏洞影响范围

3.1. 影响版本
CVE-2019-0211影响版本：

2.4.38, 2.4.37, 2.4.35, 2.4.34, 2.4.33, 2.4.30,2.4.29, 2.4.28, 2.4.27, 2.4.26, 2.4.25, 2.4.23, 2.4.20, 2.4.18, 2.4.17

建议更新到2.4.39以上版本。

CVE-2019-0217影响版本：

2.4.38, 2.4.37, 2.4.35, 2.4.34, 2.4.33, 2.4.30,2.4.29, 2.4.28, 2.4.27, 2.4.26, 2.4.25, 2.4.23, 2.4.20, 2.4.18, 2.4.17, 2.4.16,2.4.12, 2.4.10, 2.4.9, 2.4.7, 2.4.6, 2.4.4, 2.4.3, 2.4.2, 2.4.1, 2.4.0

建议更新到2.4.39以上版本。

CVE-2019-0215影响版本：

2.4.38, 2.4.37

建议更新到2.4.39以上版本。

其他早期版本：

Apache httpd 2.2，2017年12月后不再维护安全更新；

Apache httpd 2.0，2013年后不再维护安全更新；

Apache httpd 1.3，2010年后不再维护安全更新；

建议更新到2.4.39以上版本。

其他发行版：

一些linux发行版中自带有httpd包，比如Red Hat，目前厂商还在评估影响中，参考：

https://access.redhat.com/security/cve/cve-2019-0211

3.2. 影响分布
通过安恒研究院SUMAP平台针对全球Apache HTTPServer服务的资产情况统计，最新查询分布情况如下：
通过安恒研究院SUMAP平台针对国内Apache HTTP Server服务的资产情况统计，最新查询分布情况如下：

4. 漏洞缓解措施

4.1. 威胁等级

高危：攻击者成功利用漏洞可能导致权限提升效果，从而实现越权访问或执行恶意代码等威胁。

4.2. 安全建议
历史上Apache HTTP Server报过多次漏洞，建议使用该组件的企业和单位及时关注厂商安全更新补丁发布，对于还在运行官方已不再维护安全更新的2.2之前早期版本，建议更新到新的无漏洞版本或是部署必要的安全防护设备拦截恶意攻击。

官方下载：

https://httpd.apache.org/download.cgi

本文转自 安恒应急响应中心