Web server Apache je ohrožen zranitelností, která dostala označení CVE-2019–0211. Libovolný uživatel s právy vytvářet a spouštět skripty může navýšit v systému svá práva a stát se rootem. Problém tedy ohrožuje především sdílená webhostingová prostředí s mnoha různými uživateli. Chyba se nachází ve verzích 2.4.17 až 2.4.38 a oprava je dostupná v čerstvě vydané 2.4.39.
Pokud je web server nasazen s MPM (Multi-Processing Module) event, worker nebo prefork, může uživatel spustit skript s právy nadřazeného rodiče – což je často root. Stačí k tomu napsat skript v jakémkoliv z podporovaných jazyků: třeba v PHP. Chybu je možné zneužít jen na unixových systémech.
Zejména pokud provozujete otevřený hosting, měli byste co nejdříve aktualizovat. Všechny podrobnosti o opravovaných chybách najdete na webu Apache.org.
Flaw in Apache HTTP Server 2.4.17 - 2.4.38 allows anyone you allow to write a script (PHP, CGI,..) to gain root. Get 2.4.39 *now* especially if you have untrusted script authors or run shared hosting (or use mod_auth_digest, due to a separate flaw)https://t.co/s08XhOzKKW
— Mark J Cox (@iamamoose) April 2, 2019
