如何修复 Apache 2.4.x CVE-2019-0211 提权漏洞

2019 年 4 月 1 日,Apache 基金会 发布了一个安全更新 用于修复 2.4.17–2.4.38 版本的提权漏洞( CVE-2019-0211 )。

这不是愚人节的玩笑,有接近 200 万台服务器可能遭受此漏洞的威胁。此漏洞使模块代码(增强 Apache 服务器功能的软件组件)和通过 mod_php 等模块执行的脚本能够以父进程(通常是 root)的权限运行代码成为可能。因此,我们需要尽快修复此漏洞。

受影响的大部分系统在美国(约770,000),德国(约224,000)和法国(约111,000)。

此次漏洞会影响到我的服务器吗?

漏洞总是会引起恐慌,但是不要着急,我们先看一看您的服务器是不是真的受 Apache CVE-2019-0211 漏洞的威胁:

  • 您的 Linux/Unix 服务器使用 Apache 作为 web 服务器;
  • 您的 Apache 服务器版本正好在 2.4.17 到 2.4.38之间;
  • 您已经很久没有更新过您的服务器了

如果以上条件适用于您,那么您需要立刻修复您的服务器。即使您使用像 cPanel, DirectAdmin, Plesk, InterWorx 这样的控制面板,您仍然需要注意和确认以确保您的服务器不受漏洞威胁。

注意:Apache CVE-2019-0211 漏洞只针对 Apache 服务器,并不针对 PHP/NodeJS/Python 等特定语言或环境。

如何修复 Apache CVE-2019-0211 漏洞?

求助!我的 Apache 版本刚好是中招的版本,我应该如何修复?

快速修复 Apache CVE-2019-0211 漏洞的方法就是升级您的 Apache 服务到最新的 2.4.39 版本,这里我们提供几个步骤供您参考:

1. 搜集信息

首先我们需要搜集我们的服务器的相关信息,比如 PHP 的版本,服务器上有哪些网站,对应哪些数据库,需要哪些模块等。

2. 备份 Apache 配置文件

在正式升级前备份配置文件非常重要,如果在升级的过程中遇到任何问题,您可以通过回滚配置文件来修复,这可以帮助我们缩短升级中造成网站宕机的时间。

3. 升级 Apache 版本

控制面板:一般的控制面板中会提供一键升级的选项,点击升级选项即可完成相应升级。

YUM/APT:您可以通过 yum update 或 apt-get update 命令行来进行一键升级。

如果您手动编译安装或使用官方安装包安装,可以下载官方最新版本安装升级。

4. 确认升级后运行情况

升级之后我们需要确认网站是否运行正常,有时候升级的过程很顺利,但是网站会因为不兼容的问题出现错误或异常。

如果一切正常,此次升级就圆满完成了!

升级 web 服务器有时候会很痛苦,因为一个小小的错误就可能造成网站的宕机,进而影响业务的正常运行。您可以信赖 TheStack 的专业的工程师团队,我们会在升级 web 服务器之前做周密的分析和判断,来确保网站不会在 web 服务器升级期间遭遇宕机。

关联文章