Lỗ Hổng Bảo Mật Nghiêm Trọng Trên Apache Và Sự Nguy Hiểm

Ngày đăng: 06/02/2023
Tác giả: Hostingviet
Lượt xem: 94
Theo dõi:

Mark J Cox, một trong những thành viên sáng lập của phần mềm Apache và dự án OpenSSL. Hôm nay đã đăng một tweet cảnh báo người dùng về một lỗ hổng quan trọng được phát hiện gần đây trong phần mềm Máy chủ HTTP Apache. Cùng Hosting Việt tìm hiểu thông qua bài viết này nhé!

Máy chủ web Apache là một trong những máy chủ web nguồn mở phổ biến nhất, được sử dụng rộng rãi trên thế giới, cung cấp giải pháp webserver cho khoảng gần 40% các website trên toàn thế giới.
Lỗ hổng, được xác định là CVE-2019-0211 , được phát hiện bởi Charles Fol , một kỹ sư bảo mật tại công ty Ambionics Security và được các nhà phát triển Apache vá trong phiên bản mới nhất 2.4,39 của phần mềm được phát hành hôm nay.

Lỗ hổng ảnh hưởng đến Apache HTTP Server phiên bản 2.4.17 đến 2.4,38 và có thể cho phép bất kỳ người dùng được phân quyền hạn chế vẫn có thể thực thi mã tùy ý với quyền root trên máy chủ được nhắm mục tiêu. Tức là có quyền root từ tài khoản cấp độ user.

"Trong Apache HTTP Server 2.4 phát hành 2.4.17 đến 2.4,38, với sự kiện MPM, worker hoặc prefork, mã thực thi trong các tiến trình hoặc luồng con ít đặc quyền (bao gồm các tập lệnh được thực thi bởi trình thông dịch kịch bản lệnh trong quá trình) có thể thực thi mã tùy ý với các đặc quyền của quy trình cha mẹ (thường là root) bằng cách thao tác bảng. Các hệ thống không phải là Unix không bị ảnh hưởng ", lời khuyên nói.

Các bước Hacker khai thác lỗ hổng bảo mật Apache chưa được tiết lộ

Mặc dù nhà nghiên cứu chưa công bố mã khai thác Proof-of-Concept (PoC) đang hoạt động cho lỗ hổng này, Charles hôm nay đã xuất bản một bài đăng trên blog giải thích cách kẻ tấn công có thể khai thác lỗ hổng này trong 4 bước trước khi đề cập:

* Có được quyền truy cập R / W (đọc ghi) trong 1 process đang thực thi,

* Viết cấu trúc prefork_child_bucket giả trong SHM,

* Đặt all_buckets[bucket] trỏ vào cấu trúc,

* Chờ 6:25 sáng để nhận kết quả.

Theo Cox, lỗ hổng này liên quan nhiều hơn đến các dịch vụ lưu trữ web được chia sẻ, nơi khách hàng độc hại hoặc tin tặc có khả năng thực thi các tập lệnh PHP hoặc CGI trên trang web có thể sử dụng lỗ hổng để có quyền truy cập root trên máy chủ, cuối cùng làm tổn hại tất cả các dịch vụ khác các trang web được lưu trữ trên cùng một máy chủ.
Bên cạnh đó, phiên bản Apache httpd 2.4.39 mới nhất cũng vá ba vấn đề nghiêm trọng thấp và hai vấn đề quan trọng khác.

Lỗ hổng quan trọng thứ hai (CVE-2019-0217) có thể cho phép "người dùng có thông tin xác thực hợp lệ để xác thực bằng tên người dùng khác, bỏ qua các hạn chế kiểm soát truy cập được định cấu hình".

Lỗ hổng thứ ba là một vòng kiểm soát truy cập mod_ssl (CVE-2019-0215), "một lỗi trong mod_ssl khi sử dụng xác minh chứng chỉ ứng dụng khách theo vị trí với TLSv1.3 cho phép khách hàng hỗ trợ Xác thực bắt tay sau được cấu hình để bỏ qua các hạn chế kiểm soát truy cập được định cấu hình."

Chúng tôi đã thấy những tiết lộ trước đây về các lỗ hổng nghiêm trọng trong khung ứng dụng web đã dẫn đến việc khai thác PoC được công bố trong vòng một ngày và khai thác trong tự nhiên , khiến cơ sở hạ tầng quan trọng cũng như dữ liệu của khách hàng gặp rủi ro.

Do đó, các dịch vụ lưu trữ web, các tổ chức quản lý máy chủ của riêng họ và quản trị viên trang web được khuyến khích nâng cấp các phiên bản HTTP HTTP của họ lên các phiên bản mới nhất càng sớm càng tốt.

>>Xem thêm: Chương trình Hỗ trợ 600 Gói Cloud VPS DirectAdmin Miễn phí trong 6 tháng

Chúng ta phải làm gì để vá lỗ hổng bảo mật Apache?

Việc này còn tùy thuộc vào các mà Bạn đang sử dụng máy chủ. Có 2 trường hợp phổ biến. 1 là chỉ sử dụng Apache, 2 là Apache kết hợp Nginx. ở cả 2 trường hợp này, Bạn cần update phiên bản Apache mới nhất cho máy chủ. Trong mọi trường hợp, chúng tôi luôn khuyên Bạn nên Backup dữ liệu thường xuyên, và theo dõi các thông báo trên trang HostingViet.vn để update thông tin mới nhất về bảo mật

Hãy làm theo các hướng dẫn update dưới đây.

*Xin lưu ý: Để đảm bảo an toàn, hãy chắc chắn đã backup toàn bộ source code + database nhé

Cách update phiên bản Apache mới nhất bằng SSH - DirectAdmin

Cách update phiên bản Apache mới nhất trên cPanel

Cách update Apache với VPSSIM

Đối với các controlpanel khác, vui lòng kiểm tra kỹ trước khi update.

Tôi không biết SSH, không biết quản trị Server thì có thể tự update Apache được không?

Quý Khách đang sử dụng dịch vụ tại HostingViet có thể chủ động update hoặc liên hệ bộ phận hỗ trợ kỹ thuật HostingViet để được hỗ trợ

Quý Khách đang không sử dụng VPS tại HostingViet, xin vui lòng chat trực tiếp với tư vấn viên tại góc phải màn hình!

Thông tin quan trọng: Chỉ cần Quý Khách đăng ký VPS / Server tại HostingViet, sẽ được miễn phí quản trị Server

HostingViet chính là nhân viên viên IT cần mẫn với trình độ chuyên môn cao, luôn luôn hỗ trợ 24/24 bao gồm cả ngày nghỉ, ngày lễ... với giá 0đ! Quý Khách đang lăn tăn về việc VPS cũ còn thời hạn? Hãy yên tâm, HostingViet hỗ trợ cộng thời hạn sử dụng còn lại của gói Host cũ
 

Hiện nay, đại đa số các công ty đều chưa có nhân viên IT chuyên phụ trách Server / VPS. Điều này gây khá nhiều trở ngại khi vận hành website / các ứng dụng sử dụng trên Server. Hoặc tuyển riêng nhân sự phụ trách Server thì quá tốn kém chi phí. Chính vì vậy, HostingViet sẽ hỗ trợ miễn phí dịch vụ "Quản trị máy chủ". Dịch vụ này trước đây HostingViet thu phí 1,500,000VND/1 tháng / 1 server. Riêng đối với các VPS, Server không do HostingViet cung cấp, HostingViet cũng có hỗ trợ kiểm tra và quản trị ở mức cơ bản, tùy tình hình từng Server cụ thể.

Với dịch vụ này, Quý Khách có thể yên tâm ngủ ngon, Server đã có HostingViet thức và quản lý 24/24 giúp Quý khách.

Dưới đây là danh sách các công việc quản trị Server thường gặp:
  • Cài đặt tối ưu VPS
  • Cấu hình network
  • Cập nhập bản vá lỗi
  • Cấu hình bảo mật cho VPS/Server
  • Cài đặt các phần mềm và dịch vụ khác theo yêu cầu
  • Chuyển dữ liệu về VPS... (đọc thêm)
Quý Khách chưa tìm được thông tin? xin vui lòng chat trực tiếp với nhân viên tư vấn tại góc phải màn hình hoặc gọi số 02466-567-555 để được tư vấn trực tiếp

>>Đọc thêm: Cách sửa lỗi “Apache is functioning normally”

Nhà cung cấp Tên Miền - Hosting - VPS tốt nhất Việt Nam

Là đơn vị thuộc top 3 lĩnh vực dịch vụ lưu trữ website tại Việt Nam, Hosting Việt được đánh giá là nhà cung cấp tên miền giá rẻ và Hosting giá rẻ cũng như luôn nhận được nhiều lời giới thiệu từ diễn đàn tin học về nơi mua Host ở đâu tốt . Chỉ từ 50.000đ/tháng, người dùng đã có ngay cho mình một Host để thỏa sức học tập, nghiên cứu hoặc chạy demo website… Bên cạnh đó, Hosting Việt còn là đơn vị luôn tiên phong trong công nghệ điện toán đám mây (Cloud Hosting), gói thuê server với băng thông khủng không giới hạn.

Hosting Việt có đa dạng gói dịch vụ, bên cạnh những gói giá siêu rẻ 50.000đ/tháng, nhà cung cấp còn có những vps giá rẻ chất lượng dành cho nhiều nhóm doanh nghiệp khác nhau. Các gói này luôn đáp ứng đủ nhu cầu lưu trữ, truy cập hàng chục nghìn người mỗi ngày.

Ngoài ra, với dịch vụ chăm sóc khách hàng chuyên nghiệp, đội ngũ kỹ thuật viên có chuyên môn cao sẽ nhanh chóng hỗ trợ, xử lý các vấn đề phát sinh. Từ đó, giúp người dùng có được sự trải nghiệm mượt mà, thú vị.

Như vậy, qua bài viết trên Hosting Việt đã giúp bạn có thêm nhiều thông tin bổ ích! Hi vọng bạn sẽ có thể trang bị thêm thật nhiều kiến thức khác mà chúng tôi đã chia sẻ! Nếu có bất kỳ thắc mắc hay câu hỏi nào cần giải đáp, hãy liên hệ ngay với Hosting Việt để được hỗ trợ và tư vấn nhanh chóng, miễn phí nhé!

Theo thehackernews

Bài viết liên quan
 
 
2024/10/21

HostingViet chúc mừng ngày phụ nữ Việt Nam 20-10

Đây không chỉ là dịp để các thành viên trong công ty bày tỏ lòng biết ơn mà còn là ...
Tác giả:
Đọc thêm
 
 
2024/11/14

BLACK FRIDAY- ƯU ĐÃI TỚI 60% TẠI HOSTINGVIET!

 
Tác giả:
Đọc thêm
 
 
2024/09/17

Vui Tết Trung Thu ấm áp cùng các thành viên tại HostingViet

Trung Thu là dịp để chúng ta cùng nhau ôn lại những truyền thống tốt đẹp của dân tộc, đồng thời gửi gắm những lời chúc tốt ...
Tác giả:
Đọc thêm
 
 
2024/09/16

Ưu đãi tưng bừng đón Trung Thu 2024 - Giảm 50% gói Cloud VPS

Thời gian áp dụng: Từ ngày 16.9-> 18.9 Mã Voucher: VPS50-HTV Thể lệ: Chương trình áp dụng cho các khách h&a...
Tác giả:
Đọc thêm
 
 
2024/08/30

Thông báo lịch nghỉ lễ - Chào mừng ngày Quốc khánh 2/9

Để chào đón ngày kỷ niệm dấu mốc lịch sử đáng nhớ này, HostingViet hân hoan thông báo lịch nghỉ lễ chà...
Tác giả:
Đọc thêm
 
 
2024/08/16

CHUYẾN SUMMER TRIP ĐÁNG NHỚ CỦA HOSTINGVIET TẠI HẠ LONG THÁNG 8/2024

Chuyến đi 3 ngày 2 đêm tại Hạ Long gồm nhiều hoạt động vui chơi giải trí khác nhau, đặc biệt là đêm Gala dinner “Hừng...
Tác giả:
Đọc thêm