在2019年4月1日,apache HTTP 服务器项目发布了一项安全咨询,概述了影响 Apache HTTP 服务器版本2.4.38和更早版本的漏洞。 要查看安全咨询,请参阅:
https://httpd.apache.org/security/vulnerabilities_24.html。
Apache 服务器项目安全咨询会列出以下 CVEs:
- CVE-2019-0211
- CVE-2019-0217
- CVE-2019-0215
- CVE-2019-0197
- CVE-2019-0196
- CVE-2019-0220
描述
- CVE-2019-0211
使用MPM事件、工作进程或预工作进程,在权限较低的子进程或线程中执行的代码(包括由进程内脚本解释器执行的脚本)可以以父进程(通常是根进程)的权限执行任意代码。 此操作通过操作记分卡实现。 非 UNIX 系统不受影响。
- CVE-2019-0217
在线程服务器中运行时,mod_auth_digest 中的争用条件可能允许具有有效凭据的用户使用其他用户名进行身份验证,绕过配置的访问控制限制。
- CVE-2019-0215
当在 TLSv1.3中使用每个位置的客户端证书验证时,mod_ssl 中存在一个 bug允许支持握手后身份验证的客户端绕过配置的访问控制限制。
- CVE-2019-0197
当对“http: host”启用了HTTP/2或对“http: host”上的h2启用了H2Upgrade时,从“http/1.1”到“http/2”的升级请求(这不是连接上的第一个请求)可能会导致错误配置和崩溃。 从未启用 h2 协议或仅为 "https" 启用的服务器,且未配置 "H2Upgrade on" 的服务器不受影响。
- CVE-2019-0196
使用模糊化的网络输入,当确定请求的方法时,http/2请求处理可以在字符串比较中访问释放的内存,从而错误地处理请求。
- CVE-2019-0220
当请求 URL 的路径组件包含多个连续斜线("/")时,指令(如 LocationMatch 和 RewriteRule)必须在正则表达式中占重复项,而服务器处理的其他方面则隐式折叠。
研究和结论
ePO 工程团队已对以下每个 CVEs 进行了研究,得出 ePO
不受影响的结论:
- CVE-2019-0211: ePO 仅适用于 Windows,而 CVE 仅适用于 UNIX 系统。
- CVE-2019-0217: ePO 不使用 mod_auth_digest 模块。
- CVE-2019-0215: ePO Apache 尚未支持 TLS1.3。
- CVE-2019-0197: ePO Apache 不支持 HTTP/2。
- CVE-2019-0196: ePO Apache 不支持 HTTP/2。
- CVE-2019-0220: ePO 不使用 RewriteRule 指令(重写模块甚至未启用),也不使用 LocationMatch。
有关由 ePO 加载的 Apache 模块的列表,请参阅
KB82555。
