Apache HTTP Server组件介绍

到目前为止Apache HTTP Server的市场占有率达60%摆布，已经是世界使用排名第一的Web处事器软件。世界上很多著名的网站如Amazon、Yahoo!、W3 Consortium、Financial Times等都是Apache HTTP Server的产物。据统计，在全球范畴内对互联网开放Apache HTTP Server处事器的资产数量多达9000万台，发明美国地区对外开放的Apache HTTP Server处事器数量排名第一，数量为2400万台，接近全球总量的30%。排名第二与第三的分袂是中国与韩国地区，其对外开放的Apache HTTP Server处事器数量分袂为880万和670万台。

图1  Apache HTTP Server全球范畴内情况漫衍

由以上数据统计看来，国内使用Apache HTTP Server处事器的使用基数很高，用户相当广泛，在国内，Apache HTTP Server使用量最高的三个省市是北京，浙江以及辽宁，在北京的使用量最高，数量达2,740,303台，在浙江省的使用量也达100万以上，辽宁省的使用量达近90万，所以对Apache HTTP Server处事器的缝隙防止就显得尤为重要了。

图2  Apache HTTP Server处事器国内使用情况漫衍

缝隙描述

在Apache HTTP Server 2.4刊行版2.4.17到2.4.38中，无论是使用Apache HTTP Server 的MPM event模式、还是worker或prefork模式，在低权限的子进程或线程中执行的代码(包孕由进程内脚本解释器执行的脚本)可以通过独霸记分牌（scoreboard）来执行具有父进程(凡是是Root进程)权限的任意代码。非unix系统则不受影响。

影响范畴

据统计，在全球范畴内对互联网开放Apache HTTP Server处事器的资产数量多达9000万台，此中归属中国地区的受影响资产数量为800万台以上。

目前受影响的Apache HTTP Server版本：

Apache HTTP Server 2.4.38, 2.4.37, 2.4.35, 2.4.34, 2.4.33, 2.4.30, 2.4.29, 2.4.28, 2.4.27, 2.4.26, 2.4.25, 2.4.23, 2.4.20, 2.4.18, 2.4.17

参考链接

https://httpd.apache.org/security/vulnerabilities_24.html

修复建议

1.Apache HTTP Server官方已经在 Apache HTTP Server 2.4.39版本修复了该缝隙，用户可以通过编译安置来更新至最新版本，下载地点为：

2.*nix平台也可按照需求从各自的更新渠道进行更新，各个linux版本已在评估这次更新。