Уязвимость в http-сервере Nostromo, приводящая к удалённому выполнению кода

В http-сервере Nostromo (nhttpd) выявлена уязвимость
(CVE-2019-16278), позволяющая атакующему удалённо выполнить свой код на сервере через отправку специально оформленного HTTP-запроса. Проблема будет устранена в выпуске 1.9.7 (ещё не опубликован). Судя по информации от поисковой системы Shodan http-сервер Nostromo используется примерно на 2000 публично доступных хостах.

Уязвимость вызвана ошибкой в функции http_verify, пропускающей обращение к содержимому файловой системы за пределами корневого каталога сайта через передачу в пути последовательности «.%0d./». Уязвимость проявляется так как проверка на наличие символов «../» производится до выполнения функции нормализации пути, в которой из строки удаляются символы перевода строки (%0d).

Для эксплуатации уязвимости можно обратиться к /bin/sh вместо CGI-скрипта и выполнить любую shell-конструкцию, отправив POST-запрос к URI «/.%0d./.%0d./.%0d./.%0d./bin/sh» и передав команды в теле запроса. Интересно, что в 2011 году в Nostromo уже была исправлена похожая уязвимость (CVE-2011-0751), которая позволяла атаковать через отправку запроса «/..%2f..%2f..%2fbin/sh».

Источник: opennet.ru