• 发布时间 2019-04-03
• 更新时间 2019-04-03
• 漏洞等级 High
• CVE编号 CVE-2019-0211、CVE-2019-0217

漏洞详情

CVE-2019-0211：*nix平台，在Apache HTTP组件2.4.17到2.4.38版本中，不管是使用MPM event模型、Workder、还是prefork模式，运行于低权限的子进程或线程都可以通过操纵计分板（manipulating the scoreboard）的方式来以父进程的权限（通常是root权限）执行任意代码。
攻击场景中，攻击者需要通过上传可执行脚本的攻击方式来进行攻击。如果目标系统是采用主机共享的场景，该漏洞可能可直接被利用。
CVE-2019-0217：在Apache HTTP Server 2.4版本2.4.38及更早版本中，当在线程服务器中运行时，mod_auth_digest中的竞争条件可能允许具有有效凭据的用户使用其他用户名进行身份验证，从而绕过已配置的访问控制限制。

影响范围

CVE-2019-0211：
Apache HTTP Server 2.4.38, 2.4.37, 2.4.35, 2.4.34, 2.4.33, 2.4.30, 2.4.29, 2.4.28, 2.4.27, 2.4.26, 2.4.25, 2.4.23, 2.4.20, 2.4.18, 2.4.17
CVE-2019-0217：
2.4.38, 2.4.37, 2.4.35, 2.4.34, 2.4.33, 2.4.30, 2.4.29, 2.4.28, 2.4.27, 2.4.26, 2.4.25, 2.4.23, 2.4.20, 2.4.18, 2.4.17, 2.4.16, 2.4.12, 2.4.10, 2.4.9, 2.4.7, 2.4.6, 2.4.4, 2.4.3, 2.4.2, 2.4.1, 2.4.0

修复方案

注意：安装升级前，请做好数据备份、快照和测试工作，防止发生意外
1、采用自编译的方式安装，请通过源码更新的方式尽快修复，官方发布修复版本为Apache HTTP Server 2.4.39。 
2、采用*nix平台安装包方式安装的，请在平台发布修复包后尽快更新，UCloud软件源也会在官方发布后第一时间更新。

参考链接

https://seclists.org/oss-sec/2019/q2/2