วันนี้ Apache httpd ออกอัพเดตรุ่น 2.4.39 แก้ไขช่องโหว่ความปลอดภัย โดยมีช่องโหว่ระดับ "สำคัญ" 3 รายการ ช่องโหว่ที่สำคัญที่สุดคือ CVE-2019-0211 ที่เปิดให้ผู้ใช้ที่รันสคริปต์ภายใต้เว็บเซิร์ฟเวอร์ Apache สามารถยึดเครื่องได้หากตัว httpd รันในสิทธิ์ root
ช่องโหว่นี้ได้รับรายงานจาก Charles Fol นักวิจัยจาก Ambionics Security ตั้งแต่ 22 กุมภาพันธ์ที่ผ่านมา
ช่องโหว่ระดับสำคัญอีกสองรายการ เป็นการตรวจสอบผู้ใช้ ด้วย mod_auth_digest และ mod_ssl ที่บางกรณีผู้ใช้อาจข้ามการจำกัดสิทธิ์ไปได้ นอกจากนี้ยังมีช่องโหว่ระดับต่ำอีกสองรายการ
ผมตรวจสอบการปล่อยแพตช์ความปลอดภัยของลินุกซ์สายหลัก เช่น Debian, Ubuntu, และ Red Hat ล้วนยังไม่มีอัพเดตออกมา อย่างไรก็ดี แม้ทาง Apache จะปล่อยแพตช์แต่ตอนนี้ก็ยังไม่มีรายงานการโจมตีหรือรายละเอียดช่องโหว่แต่อย่างใด
ที่มา - The Hacker News, Apache
ภาพโดย geralt