2136 Letture
Vulnerabilità in Apache HTTP Server permette di acquisire i privilegi root: aggiornare subito

Vulnerabilità in Apache HTTP Server permette di acquisire i privilegi root: aggiornare subito

Brutto bug nelle versioni di Apache HTTP Server comprese tra la 2.4.17 e la 2.4.38: un normale utente può acquisire i privilegi di root eseguendo semplici script sul server. La versione 2.4.39 consente di superare il problema.

È stato scoperto - e prontamente corretto - un pericoloso bug di sicurezza nelle versioni di Apache HTTP Server comprese tra la 2.4.17 e la 2.4.38.
Come conferma Mark J. Cox, uno dei membri fondatori di Apache Software Foundation e del progetto OpenSSL, un aggressore che riuscisse a eseguire uno script (ad esempio PHP o CGI) su un server vulnerabile potrebbe acquisire i permessi root e causare danni ingenti.

La falla, che è stata risolta con il rilascio di Apache HTTP Server 2.4.39, è documentata a questo indirizzo.

Vulnerabilità in Apache HTTP Server permette di acquisire i privilegi root: aggiornare subito

Il problema è grave soprattutto per quei sistemi che vengono utilizzati per fornire servizi di hosting condiviso: un utente malintenzionato potrebbe infatti sfruttare la vulnerabilità scoperta in Apache HTTP Server eseguire comandi lato server, come di norma può fare soltanto un utente dotato dei privilegi più elevati in assoluto.


Il consiglio è quindi quello di controllare immediatamente la versione di Apache in uso e di aggiornarla (o richiederne l'aggiornamento all'ultima versione).
Sui servizi di hosting condiviso, basta caricare un file PHP contenente quanto riportato in questa pagina all'esempio n°1.
Eseguendo lo script e controllando quanto riportato in corrispondenza della variabile _SERVER["SERVER_SOFTWARE"], si leggerà il numero di versione di Apache installata sul server in uso.

Vulnerabilità in Apache HTTP Server permette di acquisire i privilegi root: aggiornare subito