Apache Web服务器错误授予共享托管环境上的root访问权限

本周，Apache软件基金会紧急修复了Apache Web服务器项目中的一个严重漏洞，该漏洞可能对系统安全构成严重威胁。这个被标识为CVE-2019-0211的漏洞存在于某些Unix系统的Apache Web服务器版本中，受影响版本范围从2.4.17至2.4.38。幸运的是，这一漏洞已在本周通过版本2.4.39得到了修复。

据了解，这个漏洞允许低特权的Apache子进程（如CGI脚本）利用父进程的特权执行恶意代码。由于大多数Unix系统上的Apache httpd默认以root用户身份运行，因此威胁参与者可能会利用此漏洞接管运行Apache httpd进程的基础系统，并控制整个机器。虽然直接针对个人服务器或公司的攻击相对较少，但该漏洞对于共享Web托管环境来说却是一个大问题。

共享Web托管服务提供商特别需要关注这个问题。因为在此漏洞的影响下，任何能够编写脚本（如PHP、CGI等）的人都有可能获取root权限。如果您正在使用受影响版本的Apache并且属于共享托管环境，尤其是如果您有不受信任的脚本作者，那么应立即升级到版本2.4.39。

安全研究员Charles Fol在接受采访时表示：“这是一个本地漏洞，攻击者必须首先获得对服务器的某种访问权限。”这意味着攻击者可能需要通过共享托管提供商注册账户，或者通过其他方式破坏现有账户。一旦获得访问权限，攻击者只需上传恶意CGI脚本，即可控制主机提供商的服务器，进而进行恶意活动或窃取其他客户的数据。

Fol还指出，CVE-2019-0211的存在自动增加了任何其他服务器安全性问题，即使对于不属于共享托管环境的Apache Web服务器也是如此。任何允许攻击者上传CGI脚本的漏洞都可能因CVE-2019-0211而导致自动根访问。无论是共享主机提供商还是私有非共享服务器上的公司都必须尽快修补此漏洞。

这是一个严重的安全威胁，需要广大Apache Web服务器用户保持警惕，及时安装安全补丁，以确保系统的安全性。对于共享Web托管环境的用户来说，更需要格外小心，因为攻击者可能会利用此漏洞进行恶意活动，对其他用户的数据造成威胁。