Разработчики Apache HTTP Server выпустили версию 2.4.39 своей системы, где закрыли шесть брешей. Три из них признаны существенными, остальные имеют низкий рейтинг опасности. Уязвимости допускали эскалацию привилегий, обход механизма аутентификации и неправильную обработку http/2-запросов.

Апдейт содержит заплатку для CVE-2019-0211, использование которой позволяет подпроцессу с низкими привилегиями выполнить произвольный код с более высокими правами родительской задачи. Эксплуатация бреши была возможна через манипуляцию запросами в панели управления текущими соединениями сервера. Баг затронул только UNIX-версии системы и наблюдается в релизах с 2.4.17 по 2.4.38.

Эксперт Apache Software Foundation Марк Джей Кокс (Mark J. Cox) пояснил, что уязвимость представляет особую опасность в системах, используемых для виртуального хостинга, поскольку дает возможность пользователю с правами на запись скрипта запустить его с root-привилегиями.

Другая серьезная брешь зарегистрирована как CVE-2019-0217 и связана с ошибкой в функции mod_auth_digest. Как выяснил ИБ-специалист Саймон Каппел (Simon Kappel), баг состояния гонки дает пользователю, имеющему аккаунт в системе, возможность авторизоваться на сервере под чужим именем и обойти установленные ограничения доступа.

Еще один баг связан с некорректной обработкой сертификата безопасности TLS 1.3 и допускает несанкционированный доступ через клиент, поддерживающий проверку подлинности после рукопожатия. Уязвимость CVE-2019-0215 выявлена в функции mod_ssl и затрагивает Apache HTTP Server версий 2.4.37 и 2.4.38. Специалисты Red Hat выставили этой бреши рейтинг опасности 8,1 по шкале CVSS.

Две менее серьезные проблемы вызваны ошибками в работе сервера по протоколу http/2 и грозят отказом в обслуживании. В одном случае переход на новую версию стандарта, выполняемый через команду H2Upgrade, приводил к сбою в работе или задержке с выполнением операции. В другом — заведомо некорректные сетевые вызовы становились причиной проблем при использовании освобождаемой памяти. Последняя брешь связана с директивами LocationMatch и RewriteRule, которые неправильно обрабатывали URL-адреса, содержащие несколько последовательных слешей.

Ранее специалисты сообщали об ошибке утечки памяти в Apache HTTP Server. По мнению экспертов, баг мог привести к прослушиванию трафика, передаваемого между хостом и клиентом. Разработчики закрыли уязвимость патчем и пояснили, что ее эксплуатация была возможна лишь при определенной, редко используемой конфигурации системы.

Категории: Уязвимости