Apche ได้ออกแพตช์อัปเดต Apache httpd 2.4.39 เพื่ออุดช่องโหว่ที่เกิดขึ้นใน Apache HTTP Server versions 2.4.17 จนถึง 2.4.38 แล้ว ช่องโหว่นี้ส่งผลให้ผู้ใช้มีสิทธื์เข้าถึง root บนเครื่องเซิร์ฟเวอร์ได้
ช่องโหว่นี้ถูกพบโดย Charles Fo วิศวกรความปลอดภัยของ Ambionics Security firm และทางทีมพัฒนา Apache ได้ทำการแก้ไขเรียบร้อยแล้ว โดยทาง Mark J Cox หนึ่งในทีมของ Apache Software Foundation and the OpenSSL project ได้ออกมาประกาศทางทวีตเตอร์เกี่ยวกับช่องโหว่นี้ พร้อมทั้งแนะนำให้ทำการอัพเดท Apache ให้เป็นเวอร์ชั่น 2.4.39 เพื่อป้องกันปัญหาช่องโหว่นี้อีกด้วย
สำหรับหมายเลขของช่องโหว่นี้คือ CVE-2019-0211 นอกจากแก้ไขปัญหาช่องโหว่นี้แล้ว ยังได้แก้ไขปัญหาช่องโหว่อีก 2 รายการซึ่งได้แก่
- ช่องโหว่หมายเลข CVE-2019-0217 ซึ่งเป็นช่องโหว่ที่อนุญาตให้ผู้ใช้ที่มีการรับรองตัวตนถูกต้องสามารถทำการ Bypass Access Control ที่ตั้งค่าไว้ได้ด้วย
- ช่องโหว่หมายเลข CVE-2019-0215 เป็นช่องโหว่การเข้าถึง mod_ssl ช่องโหว่นี้เป็นบั๊กใน mod_ssl เมื่อใช้ TLSv1.3 ทำการตรวจสอบใบรับรอง client โดย TLSv1.3 จะอนุญาตให้ client ใช้ Post-Handshake Authentication สามารถทำการ Bypass Access Control ที่ตั้งค่าไว้ได้ด้วย
นอกจากช่องโหว่สำคัญๆ แล้ว แพตช์อัพเดทนี้ยังแก้ไขช่องโหว่ระดับต่ำอีกด้วย รายละเอียดสามารถดูได้ที่ APACHE HTTP SERVER PROJECT
ที่มา The Hacker News