Mark J. Cox, uno de los miembros fundadores de Apache Software Foundation y el proyecto OpenSSL, publicó hoy un tweet para advertir a los usuarios sobre una falla importante recientemente descubierta en el software Apache HTTP Server.
Flaw in Apache HTTP Server 2.4.17 - 2.4.38 allows anyone you allow to write a script (PHP, CGI,..) to gain root. Get 2.4.39 *now* especially if you have untrusted script authors or run shared hosting (or use mod_auth_digest, due to a separate flaw)https://t.co/s08XhOzKKW— Mark J Cox (@iamamoose) 2 de abril de 2019
El servidor web Apache es uno de los servidores web de código abierto más populares y ampliamente utilizados en el mundo, que alimenta casi el 40 por ciento de toda Internet.
La vulnerabilidad, identificada como CVE-2019-0211, fue descubierta por Charles Fol, un ingeniero de seguridad de la firma de seguridad Ambionics, y parcheado por los desarrolladores de Apache en la última versión 2.4.39 de su software lanzado hoy.
"En las versiones 2.4.17 a 2.4.38 de Apache HTTP Server 2.4, con MPM event, worker o prefork, el código que se ejecuta en procesos o subprocesos secundarios menos privilegiados (incluidos los scripts ejecutados por un intérprete de scripts en proceso) podría ejecutar código arbitrario con Los privilegios del proceso principal (generalmente root) mediante la manipulación del cuadro de indicadores. Los sistemas que no son de Unix no se ven afectados ", señala el aviso.
Según Cox, la vulnerabilidad es más preocupante para los servicios de alojamiento web compartido, donde los clientes malintencionados o un pirata informático con capacidad para ejecutar scripts PHP o CGI en un sitio web pueden hacer uso de la falla para obtener acceso de root en el servidor, lo que finalmente compromete a todos los demás sitios web alojados en el mismo servidor.
Además de esto, la última versión de Apache httpd 2.4.39 también corrige tres problemas de gravedad bajos y otros dos importantes.
La segunda falla importante (CVE-2019-0217) podría permitir que "un usuario con credenciales válidas se autentique utilizando otro nombre de usuario, omitiendo las restricciones de control de acceso configuradas".
La tercera vulnerabilidad es un bypass de control de acceso mod_ssl (CVE-2019-0215), "un error en mod_ssl cuando se usa la verificación del certificado de cliente por ubicación con TLSv1.3 permitió que un cliente que admite la Autenticación en el HandShacke omita las restricciones de control de acceso configuradas".
Como se ha visto anteriormente, después de que se libera la poc o hay información al respecto de la vulnerabilidad esta se explota de manera natural en internet, por lo tanto, se recomienda encarecidamente a los servicios de alojamiento web, organizaciones que administran sus propios servidores y administradores de sitios web que actualicen sus instancias HTTP de Apache a las últimas versiones lo antes posible.
Fuente: THN
