È stato scoperto – e prontamente corretto – un pericoloso bug di sicurezza nelle versioni di Apache HTTP Server comprese tra la 2.4.17 e la 2.4.38.
Come conferma Mark J. Cox, uno dei membri fondatori di Apache Software Foundation e del progetto OpenSSL, un aggressore che riuscisse a eseguire uno script (ad esempio PHP o CGI) su un server vulnerabile potrebbe acquisire i permessi root e causare danni ingenti.
La falla, che è stata risolta con il rilascio di Apache HTTP Server 2.4.39, è documentata a questo indirizzo.
Il problema è grave soprattutto per quei sistemi che vengono utilizzati per fornire servizi di hosting condiviso: un utente malintenzionato potrebbe infatti sfruttare la vulnerabilità scoperta in Apache HTTP Server eseguire comandi lato server, come di norma può fare soltanto un utente dotato dei privilegi più elevati in assoluto.
Flaw in Apache HTTP Server 2.4.17 – 2.4.38 allows anyone you allow to write a script (PHP, CGI,..) to gain root. Get 2.4.39 *now* especially if you have untrusted script authors or run shared hosting (or use mod_auth_digest, due to a separate flaw)https://t.co/s08XhOzKKW
— Mark J Cox (@iamamoose) 2 aprile 2019
Il consiglio è quindi quello di controllare immediatamente la versione di Apache in uso e di aggiornarla (o richiederne l’aggiornamento all’ultima versione).
Sui servizi di hosting condiviso, basta caricare un file PHP contenente quanto riportato in questa pagina all’esempio n°1.
Eseguendo lo script e controllando quanto riportato in corrispondenza della variabile _SERVER["SERVER_SOFTWARE"]
, si leggerà il numero di versione di Apache installata sul server in uso.