|
Apache HTTP Server 2.4.39 已经正式发布并提供 httpd-2.4.39.tar.bz2、httpd-2.4.39.tar.gz 软件包下载,该版本主要修复安全漏洞及错误问题,即原 Apache HTTP Server 版本存在高危提权漏洞,建议升级到 2.4.39 版本,请下载并解压缩软件包,请注意配置并替换新的 Apache HTTP Server 2.4.39 文件。
下载链接
Apache HTTP Server 2.4.39更新介绍 Apache HTTP Server 2.4.39 主要的更新是修复安全漏洞,当前所下载的版本为最新稳定版本。Apache HTTP Server 2.4.39 修复了 Charles Fol 发现的漏洞:
Charles Fol 对 Apache 团队处理问题的效率也十分赞赏。他表示自己在2019年2月22日通过电子邮件提交了漏洞,2月25日开发团队就确认了漏洞的存在,并开始着手修复。到了3月7日,Apache 安全团队发送补丁给 Charles 审查并分配了 CVE 编号;3月10日,Charles 批准了这个补丁,最后4月1日 Apache 发布修复了漏洞的 2.4.39 版本。 据介绍,这个漏洞所影响的版本十分广泛,涉及到从 2.4.17(2015.10.9) 到 2.4.38(2019.4.1) 的所有版本。 编号为 CVE-2019-0211 的漏洞是一个本地提权漏洞,该漏洞允许拥有有限权限的用户或软件获得 Web Server 的 root 权限。如果被攻击者成功提权,他将拥有 Web Server 的完整访问权限,在服务器进出自如。 受该漏洞影响最大的是提供共享实例的 Web 托管商,因为 Web 托管商的一台服务器通常会提供给多个网站使用,而此类服务器一般会阻止一个网站的管理员访问另一个网站,或访问机器的相关设置。所以,建议使用其它 Apache 版本的用户进行升级,它不仅仅是修复了安全漏洞,还有很多的改进和增强功能,这在服务器当中会有一定的提升作用。
相关主题 |
