Mark J Cox, một trong những thành viên sáng lập của phần mềm Apache và dự án OpenSSL. Hôm nay đã đăng một tweet cảnh báo người dùng về một lỗ hổng quan trọng được phát hiện gần đây trong phần mềm Máy chủ HTTP Apache. Cùng Hosting Việt tìm hiểu thông qua bài viết này nhé!
Máy chủ web Apache là một trong những máy chủ web nguồn mở phổ biến nhất, được sử dụng rộng rãi trên thế giới, cung cấp giải pháp webserver cho khoảng gần 40% các website trên toàn thế giới.
Lỗ hổng, được xác định là CVE-2019-0211 , được phát hiện bởi Charles Fol , một kỹ sư bảo mật tại công ty Ambionics Security và được các nhà phát triển Apache vá trong phiên bản mới nhất 2.4,39 của phần mềm được phát hành hôm nay.
Lỗ hổng ảnh hưởng đến Apache HTTP Server phiên bản 2.4.17 đến 2.4,38 và có thể cho phép bất kỳ người dùng được phân quyền hạn chế vẫn có thể thực thi mã tùy ý với quyền root trên máy chủ được nhắm mục tiêu. Tức là có quyền root từ tài khoản cấp độ user.
"Trong Apache HTTP Server 2.4 phát hành 2.4.17 đến 2.4,38, với sự kiện MPM, worker hoặc prefork, mã thực thi trong các tiến trình hoặc luồng con ít đặc quyền (bao gồm các tập lệnh được thực thi bởi trình thông dịch kịch bản lệnh trong quá trình) có thể thực thi mã tùy ý với các đặc quyền của quy trình cha mẹ (thường là root) bằng cách thao tác bảng. Các hệ thống không phải là Unix không bị ảnh hưởng ", lời khuyên nói.
Các bước Hacker khai thác lỗ hổng bảo mật Apache chưa được tiết lộ
Mặc dù nhà nghiên cứu chưa công bố mã khai thác Proof-of-Concept (PoC) đang hoạt động cho lỗ hổng này, Charles hôm nay đã xuất bản một bài đăng trên blog giải thích cách kẻ tấn công có thể khai thác lỗ hổng này trong 4 bước trước khi đề cập:
* Có được quyền truy cập R / W (đọc ghi) trong 1 process đang thực thi,
* Viết cấu trúc prefork_child_bucket giả trong SHM,
* Đặt all_buckets[bucket] trỏ vào cấu trúc,
* Chờ 6:25 sáng để nhận kết quả.
Theo Cox, lỗ hổng này liên quan nhiều hơn đến các dịch vụ lưu trữ web được chia sẻ, nơi khách hàng độc hại hoặc tin tặc có khả năng thực thi các tập lệnh PHP hoặc CGI trên trang web có thể sử dụng lỗ hổng để có quyền truy cập root trên máy chủ, cuối cùng làm tổn hại tất cả các dịch vụ khác các trang web được lưu trữ trên cùng một máy chủ.
Bên cạnh đó, phiên bản Apache httpd 2.4.39 mới nhất cũng vá ba vấn đề nghiêm trọng thấp và hai vấn đề quan trọng khác.
Lỗ hổng quan trọng thứ hai (CVE-2019-0217) có thể cho phép "người dùng có thông tin xác thực hợp lệ để xác thực bằng tên người dùng khác, bỏ qua các hạn chế kiểm soát truy cập được định cấu hình".
Lỗ hổng thứ ba là một vòng kiểm soát truy cập mod_ssl (CVE-2019-0215), "một lỗi trong mod_ssl khi sử dụng xác minh chứng chỉ ứng dụng khách theo vị trí với TLSv1.3 cho phép khách hàng hỗ trợ Xác thực bắt tay sau được cấu hình để bỏ qua các hạn chế kiểm soát truy cập được định cấu hình."
Chúng tôi đã thấy những tiết lộ trước đây về các lỗ hổng nghiêm trọng trong khung ứng dụng web đã dẫn đến việc khai thác PoC được công bố trong vòng một ngày và khai thác trong tự nhiên , khiến cơ sở hạ tầng quan trọng cũng như dữ liệu của khách hàng gặp rủi ro.
Do đó, các dịch vụ lưu trữ web, các tổ chức quản lý máy chủ của riêng họ và quản trị viên trang web được khuyến khích nâng cấp các phiên bản HTTP HTTP của họ lên các phiên bản mới nhất càng sớm càng tốt.
>>Xem thêm: Chương trình Hỗ trợ 600 Gói Cloud VPS DirectAdmin Miễn phí trong 6 tháng
Chúng ta phải làm gì để vá lỗ hổng bảo mật Apache?
Việc này còn tùy thuộc vào các mà Bạn đang sử dụng máy chủ. Có 2 trường hợp phổ biến. 1 là chỉ sử dụng Apache, 2 là Apache kết hợp Nginx. ở cả 2 trường hợp này, Bạn cần update phiên bản Apache mới nhất cho máy chủ. Trong mọi trường hợp, chúng tôi luôn khuyên Bạn nên Backup dữ liệu thường xuyên, và theo dõi các thông báo trên trang HostingViet.vn để update thông tin mới nhất về bảo mật
Hãy làm theo các hướng dẫn update dưới đây.
*Xin lưu ý: Để đảm bảo an toàn, hãy chắc chắn đã backup toàn bộ source code + database nhé
- Cách update phiên bản Apache mới nhất bằng SSH - DirectAdmin
- Cách update phiên bản Apache mới nhất trên cPanel
Cách update Apache với VPSSIM
Đối với các controlpanel khác, vui lòng kiểm tra kỹ trước khi update.
Tôi không biết SSH, không biết quản trị Server thì có thể tự update Apache được không?
Quý Khách đang sử dụng dịch vụ tại HostingViet có thể chủ động update hoặc liên hệ bộ phận hỗ trợ kỹ thuật HostingViet để được hỗ trợ
Quý Khách đang không sử dụng VPS tại HostingViet, xin vui lòng chat trực tiếp với tư vấn viên tại góc phải màn hình!
Thông tin quan trọng: Chỉ cần Quý Khách đăng ký VPS / Server tại HostingViet, sẽ được miễn phí quản trị Server
Hiện nay, đại đa số các công ty đều chưa có nhân viên IT chuyên phụ trách Server / VPS. Điều này gây khá nhiều trở ngại khi vận hành website / các ứng dụng sử dụng trên Server. Hoặc tuyển riêng nhân sự phụ trách Server thì quá tốn kém chi phí. Chính vì vậy, HostingViet sẽ hỗ trợ miễn phí dịch vụ "Quản trị máy chủ". Dịch vụ này trước đây HostingViet thu phí 1,500,000VND/1 tháng / 1 server. Riêng đối với các VPS, Server không do HostingViet cung cấp, HostingViet cũng có hỗ trợ kiểm tra và quản trị ở mức cơ bản, tùy tình hình từng Server cụ thể.
Với dịch vụ này, Quý Khách có thể yên tâm ngủ ngon, Server đã có HostingViet thức và quản lý 24/24 giúp Quý khách.
- Cài đặt tối ưu VPS
- Cấu hình network
- Cập nhập bản vá lỗi
- Cấu hình bảo mật cho VPS/Server
- Cài đặt các phần mềm và dịch vụ khác theo yêu cầu
- Chuyển dữ liệu về VPS... (đọc thêm)
>>Đọc thêm: Cách sửa lỗi “Apache is functioning normally”
Nhà cung cấp Tên Miền - Hosting - VPS tốt nhất Việt Nam
Là đơn vị thuộc top 3 lĩnh vực dịch vụ lưu trữ website tại Việt Nam, Hosting Việt được đánh giá là nhà cung cấp tên miền giá rẻ và Hosting giá rẻ cũng như luôn nhận được nhiều lời giới thiệu từ diễn đàn tin học về nơi mua Host ở đâu tốt . Chỉ từ 50.000đ/tháng, người dùng đã có ngay cho mình một Host để thỏa sức học tập, nghiên cứu hoặc chạy demo website… Bên cạnh đó, Hosting Việt còn là đơn vị luôn tiên phong trong công nghệ điện toán đám mây (Cloud Hosting), gói thuê server với băng thông khủng không giới hạn.
Hosting Việt có đa dạng gói dịch vụ, bên cạnh những gói giá siêu rẻ 50.000đ/tháng, nhà cung cấp còn có những vps giá rẻ chất lượng dành cho nhiều nhóm doanh nghiệp khác nhau. Các gói này luôn đáp ứng đủ nhu cầu lưu trữ, truy cập hàng chục nghìn người mỗi ngày.
Ngoài ra, với dịch vụ chăm sóc khách hàng chuyên nghiệp, đội ngũ kỹ thuật viên có chuyên môn cao sẽ nhanh chóng hỗ trợ, xử lý các vấn đề phát sinh. Từ đó, giúp người dùng có được sự trải nghiệm mượt mà, thú vị.
Như vậy, qua bài viết trên Hosting Việt đã giúp bạn có thêm nhiều thông tin bổ ích! Hi vọng bạn sẽ có thể trang bị thêm thật nhiều kiến thức khác mà chúng tôi đã chia sẻ! Nếu có bất kỳ thắc mắc hay câu hỏi nào cần giải đáp, hãy liên hệ ngay với Hosting Việt để được hỗ trợ và tư vấn nhanh chóng, miễn phí nhé!
Theo thehackernews