'n Dringende opdatering van die Apache 2.4.50 http-bediener is geskep, wat 'n reeds aktief ontginde 0-dag kwesbaarheid (CVE-2021-41773) uitskakel, wat toegang tot lêers van gebiede buite die werf se wortelgids moontlik maak. Deur die kwesbaarheid te gebruik, is dit moontlik om arbitrêre stelsellêers en brontekste van webskrifte af te laai, leesbaar deur die gebruiker onder wie die http-bediener loop. Die ontwikkelaars is op 17 September van die probleem in kennis gestel, maar kon die opdatering eers vandag vrystel, nadat gevalle van die kwesbaarheid wat gebruik word om webwerwe aan te val, op die netwerk aangeteken is.
Om die gevaar van die kwesbaarheid te versag, is dat die probleem slegs in die onlangs vrygestelde weergawe 2.4.49 voorkom en nie alle vroeëre vrystellings raak nie. Die stabiele takke van konserwatiewe bedienerverspreidings het nog nie die 2.4.49-vrystelling (Debian, RHEL, Ubuntu, SUSE) gebruik nie, maar die probleem het voortdurend bygewerkte verspreidings soos Fedora, Arch Linux en Gentoo, sowel as poorte van FreeBSD, geraak.
Die kwesbaarheid is te wyte aan 'n fout wat ingestel is tydens 'n herskryf van die kode vir normalisering van paaie in URI's, as gevolg waarvan 'n "%2e"-gekodeerde kolkarakter in 'n pad nie genormaliseer sou word as dit deur 'n ander punt voorafgegaan is nie. Dit was dus moontlik om rou "../"-karakters in die gevolglike pad te vervang deur die volgorde ".%2e/" in die versoek te spesifiseer. Byvoorbeeld, 'n versoek soos "https://example.com/cgi-bin/.%2e/.%2e/.%2e/.%2e/etc/passwd" of "https://example.com/cgi" -bin /.%2e/%2e%2e/%2e%2e/%2e%2e/etc/hosts" het jou toegelaat om die inhoud van die lêer "/etc/passwd" te kry.
Die probleem kom nie voor as toegang tot gidse uitdruklik geweier word met die "vereis alles geweier"-instelling. Byvoorbeeld, vir gedeeltelike beskerming kan jy in die konfigurasielêer spesifiseer: vereis dat almal geweier word
Apache httpd 2.4.50 maak ook 'n ander kwesbaarheid reg (CVE-2021-41524) wat 'n module beïnvloed wat die HTTP/2-protokol implementeer. Die kwesbaarheid het dit moontlik gemaak om nulwyserverwysing te begin deur 'n spesiaal vervaardigde versoek te stuur en die proses te laat ineenstort. Hierdie kwesbaarheid verskyn ook slegs in weergawe 2.4.49. As 'n veiligheidsoplossing kan u ondersteuning vir die HTTP/2-protokol deaktiveer.
Bron: opennet.ru