https://www.opennet.ru/openforum/vsluhforumID3/117011.html Опубликован (https://www.mail-archive.com/announce@httpd.apache.org/msg00138.html) релиз HTTP-сервера Apache 2.4.39, в котором представлено 18 изменений (http://www.apache.org/dist/httpd/CHANGES_2.4.39) и устранено 7 уязвимостей (http://httpd.apache.org/security/vulnerabilities_24.html).<br><br><br><br>Наиболее опасная уязвимость (CVE-2019-0211 (https://security-tracker.debian.org/tracker/CVE-2019-0211)) позволяет локальному злоумышленнику (например, пользователю хостинга), имеющему возможность выполнить свой скрипт под управлением web-сервера (в том числе через mod_php, mod_lua, mod_perl и т.п.), добиться выполнения кода с правами управляющего процесса, обычно запускаемого с привилегиями root. Проблема проявляется при применении MPM-модулей event, worker или prefork и может быть эксплуатирована через через манипуляции с областью scoreboard, применяемой для организации взаимодействия между дочерним и родительским процессом Уязвимость проявляется начиная с выпуска 2.4.17.<br><br><br><br><br><br><br><br><br>Другие уязвимости:<br><br><br><br>- CVE https://www.opennet.ru/openforum/vsluhforumID3/117011.html#25 Tue, 09 Apr 2019 12:59:50 GMT &gt; Прошу прощения, за, возможно, глупый вопрос<br><br>феерически глупый, ага.<br><br>&gt; а в каких системах Apache-сервер запускают "обычно" с правами системного администратора (root)<br><br>во всех, кроме винды.<br><br>&gt; Это неточность в статье?<br><br>нет, это твоя неграмотность.<br><br>workers - да, работают не от рута. И весь смысл "уязвимости" - что внезапно можно получить обратно права, которые они успешно сбросили перед запуском юзерского кода. Учитывая, что гадюшники где юзеры занимаются взломом сервера а не работой, уже практически преданья старины глубокой, да и там есть мильен способов нагадить, помимо самого сервера, кое-как затыкаемые бесконечным костылингом без особых гарантий, оно актуально разьве что на случай пролома твоего сервера извне - когда уже в общем-то не о чем особенно скорбеть, можно перезаливаться с бэкапа, не забыв напоследок обналичить пару карт зашедших что-то прикупить клиентов - потом на хакеров свалишь.<br><br> https://www.opennet.ru/openforum/vsluhforumID3/117011.html#24 Thu, 04 Apr 2019 20:32:14 GMT "... добиться выполнения кода с правами управляющего процесса, обычно запускаемого с привилегиями root.". Прошу прощения, за, возможно, глупый вопрос, а в каких системах Apache-сервер запускают "обычно" с правами системного администратора (root)? Это неточность в статье?<br> https://www.opennet.ru/openforum/vsluhforumID3/117011.html#23 Wed, 03 Apr 2019 19:24:40 GMT под опенок свое наклепают. эх а когда то апач был всем и вся)) правда даже тогда его ломали постоянно))<br> https://www.opennet.ru/openforum/vsluhforumID3/117011.html#22 Wed, 03 Apr 2019 19:15:07 GMT https://httpd.apache.org/docs/trunk/tr/socache.html<br>https://httpd.apache.org/docs/trunk/tr/mod/mod_socache_redis.html<br>https://httpd.apache.org/docs/trunk/tr/mod/mod_ssl.html#sslsessioncache<br> https://www.opennet.ru/openforum/vsluhforumID3/117011.html#21 Wed, 03 Apr 2019 19:07:07 GMT &gt;Обновления пакетов с устранением уязвимостей уже доступны во FreeBSD. <br><br>Т.е. под OpenBSD он вообще не идёт?<br> https://www.opennet.ru/openforum/vsluhforumID3/117011.html#20 Wed, 03 Apr 2019 18:33:07 GMT &gt;обычно запускаемого с привилегиями root<br><br>а вот за такое надо увольнять. Потому что все необходимые механизмы уже давно есть.<br> https://www.opennet.ru/openforum/vsluhforumID3/117011.html#19 Wed, 03 Apr 2019 17:31:30 GMT Пока я мельком читал растбук, походит на функциональные языки, помню в универе лабы на хаскелл и мл писали, тоже были всякие let. <br><br>А так, если ценою синтаксиса можно победить ошибки безопасности, почему нет?<br> https://www.opennet.ru/openforum/vsluhforumID3/117011.html#18 Wed, 03 Apr 2019 17:23:22 GMT Не обязательно нгинх, можно хапрокси.<br> https://www.opennet.ru/openforum/vsluhforumID3/117011.html#17 Wed, 03 Apr 2019 17:21:49 GMT Начни с синтаксиса. Лично мне от одного уже синтаксиса всех этих новомодных поделок хочется выблеваться...<br>