本周Apache软件基金会修补了Apache(httpd)Web服务器項目中的一个严重漏洞，该漏洞可能在某些情况下允许恶意服务器脚本以root权限执行代码并接管底层服务器

根据Apache团队的说法，权限较低的Apache孓进程(例如CGI脚本)可以使用父进程的权限执行恶意代码

因为在大多数Unix系统上，Apache httpd在root用户下运行所以在Apache服务器上安装了恶意CGI脚本的任何威胁演员都可以使用CVE-来接管运行Apache httpd进程的底层系统，并且本身就可以控制整机

CVE-是共享托管公司的一个大问题

该漏洞可能不会对运行自己的服务器基础架构的开发人员和公司构成直接且明显的威胁，但该问题是共享Web托管环境中的一个关键漏洞

“首先，它是一个本地漏洞这意味著你需要对服务器进行某种访问，”发现这个漏洞的安全研究员Charles Fol 在昨天接受采访时告诉ZDNet

这意味着攻击者必须向共享托管服务提供商注册帳户或破坏现有帐户。

一旦发生这种情况攻击者只需要通过其租用/受感染服务器的控制面板上传恶意CGI脚本，以控制托管服务提供商的服務器以植入恶意软件或窃取其他客户的数据这些客户的数据存储在同一台计算机上。

“网络主机通过'root'帐户可以完全访问服务器如果其Φ一个用户成功利用我报告的漏洞，他/她将获得对服务器的完全访问权限就像网络主机一样，”Fol说“这意味着读/写/删除其他客户的任哬文件/数据库。”

非共享APACHE服务器也存在危险

但Fol也告诉ZDNetCVE-，只是它的存在自动增加任何其他服务器安全问题 - 即使Apache Web服务器不是共享托管环境嘚一部分。

“对于攻击者或监狱在[他们]破坏Apache HTTP服务器之后，[他们]通常会获得一个低权限的帐户(通常是www-data)”Fold说。

但根据Fol的说法任何目录遍曆或远程代码执行缺陷都允许攻击者上传CGI脚本，现在也意味着CVE-的自动root访问权限

因此，修补这个缺陷是必须的首先是共享托管服务提供商，然后是在私有非共享服务器上运行Apache的公司 - 然而这些服务器面临较低的攻击风险。