一、漏洞概述

2019年4月1日，Apache HTTP Server更新了6个安全漏洞公告，详情：https://httpd.apache.org/security/vulnerabilities_24.html。

本次更新的6个CVE编号为：CVE-2019-0211、CVE-2019-0217、CVE-2019-0215、CVE-2019-0197、CVE-2019-0196、CVE-2019-0220。

根据CVE-2019-0211分析，漏洞影响严重，攻击者编写的脚本（PHP，CGI，...）可以直接获得目标系统的root权限，影响Apache 2.4.17到2.4.38版本unix平台。

CVE-2019-0211：在Apache HTTP Server 2.4版本2.4.17至2.4.38中，使用MPM事件，工作者或prefork，在权限较低的子进程或线程（包括进程内脚本解释器执行的脚本）中执行的代码可以执行任意代码通过操纵记分板，父进程（通常是root）的权限。非Unix系统不受影响。

CVE-2019-0217：在Apache HTTP Server 2.4版本2.4.38及更早版本中，当在线程服务器中运行时，mod_auth_digest中的竞争条件可能允许具有有效凭据的用户使用其他用户名进行身份验证，从而绕过已配置的访问控制限制。

CVE-2019-0215：在Apache HTTP Server 2.4.37及2.4.38版本中，经Post-Handshake认证的客户端通过mod_ssl模块使用TLSv1.3对客户端证书进行验证时，可能绕过已配置的访问控制限制。

二、影响版本

• CVE-2019-0211
  Apache HTTP Server 2.4.38, 2.4.37, 2.4.35, 2.4.34, 2.4.33, 2.4.30, 2.4.29, 2.4.28, 2.4.27, 2.4.26, 2.4.25, 2.4.23, 2.4.20, 2.4.18, 2.4.17
• CVE-2019-0217
  2.4.38, 2.4.37, 2.4.35, 2.4.34, 2.4.33, 2.4.30, 2.4.29, 2.4.28, 2.4.27, 2.4.26, 2.4.25, 2.4.23, 2.4.20, 2.4.18, 2.4.17, 2.4.16, 2.4.12, 2.4.10, 2.4.9, 2.4.7, 2.4.6, 2.4.4, 2.4.3, 2.4.2, 2.4.1, 2.4.0
• CVE-2019-0211
  Apache HTTP Server 2.4.38, 2.4.37

• 其他早期版本

  Apache httpd 2.2，2.0，1.3

三、防护措施

建议企业单位随时关注厂商安全更新补丁发布，建议更新到新的2.4.39版本或是部署必要的安全防护设备拦截恶意攻击。