Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Vulnerabilità multiple in Apache HTTP Server

apache  elevazione dei privilegi  httpd   mercoledì, 3 aprile 2019

Apache HTTP Server (“httpd”) è un server HTTP open source sviluppato dalla Apache Software Foundation disponibile per tutti i moderni sistemi operativi, inclusi Linux/Unix e Windows. Il server “httpd” è attualmente utilizzato dal 43,8% dei siti Web nel mondo.

Sono state recentemente risolte diverse vulnerabilità in Apache HTTP Server 2.4.x, la più grave delle quali potrebbe essere sfruttata da un utente malevolo con diritti di scrittura ed esecuzione di script per elevare i propri privilegi ed eseguire codice come root su sistemi Unix/Linux.

Dettagli delle vulnerabilità (in Inglese):

  • [High] Apache HTTP Server privilege escalation from modules’ scripts (CVE-2019-0211)
  • [High] mod_auth_digest access control bypass (CVE-2019-0217)
  • [High] mod_ssl access control bypass (CVE-2019-0215)
  • [Low] mod_http2, possible crash on late upgrade (CVE-2019-0197)
  • [Low] mod_http2, read-after-free on a string compare (CVE-2019-0196)
  • [Low] Apache httpd URL normalization inconsistincy (CVE-2019-0220)

Queste vulnerabilità sono state risolte in Apache HTTP Server versione 2.4.39.

Si raccomanda ai gestori di servizi “httpd” su sistemi Unix/Linux di aggiornare il server alla versione più recente messa a disposizione dal produttore, dopo appropriato testing.

Per maggiori informazioni su queste vulnerabilità e sugli aggiornamenti disponibili è possibile consultare le seguenti fonti esterne (in Inglese):

Notizie correlate

Vulnerabilità in Apache Tomcat consente esecuzione di codice da remoto

17 aprile 2019

È stata scoperta una vulnerabilità di gravità elevata in Apache Tomcat che potrebbe consentire ad un attaccante remoto di eseguire codice arbitrario sui sistemi Microsoft Windows.Leggi tutto

Vulnerabilità in VMware Workstation e Horizon

18 marzo 2019

VMware ha rilasciato due avvisi di sicurezza relativi a vulnerabilità nei prodotti Workstation Pro / Player e Horizon sui sistemi Microsoft Windows.Leggi tutto

Google scopre grave falla 0-day in Windows 7

11 marzo 2019

Google ha pubblicato un bollettino di sicurezza riguardante una vulnerabilità zero-day presente nel sistema operativo Microsoft Windows almeno fino alla versione 7.Leggi tutto