Опубликован PoC-код для уязвимости в Apache HTTP Server

4

Опубликован PoC-код для уязвимости в Apache HTTP Server

Код представляет собой нечто среднее между PoC и полноценным эксплоитом и предназначен в том числе для образовательных целей.


Разработчик Чарльз Фол (Charles Fol) разместил на портале GitHub PoC-код для обнаруженной им уязвимости Carpe Diem (CVE-2019-0211) в Apache HTTP Server 2.4, позволяющей при определенных обстоятельствах выполнить код с правами суперпользователя и перехватить управление сервером.

В сопроводительном комментарии Фол пояснил, что код представляет собой нечто среднее между демонстрационным PoC и полноценным эксплоитом и предназначен в том числе для образовательных целей. Хотя опубликованный код, по словам инженера, может не сработать по ряду причин, с его помощью злоумышленники могут создать рабочий эксплоит, поэтому администраторам (особенно сервисов совместного web-хостинга) рекомендуется как можно скорее установить версию Apache HTTP Server v2.4.39, устраняющую указанную уязвимость, а также ряд других проблем.

CVE-2019-0211 затрагивает только версию Apache HTTP Server для Unix-систем. Разработчики Debian , SuSE , Ubuntu и cPanel уже выпустили корректирующие обновления. Для FreeBSD опубликован о соответствующее предупреждение, однако патч пока недоступен.