تم إنشاء تحديث عاجل لخادم Apache 2.4.50 http، والذي يزيل ثغرة أمنية مستغلة بالفعل لمدة 0 يوم (CVE-2021-41773)، والتي تسمح بالوصول إلى الملفات من مناطق خارج الدليل الجذر للموقع. باستخدام الثغرة الأمنية، من الممكن تنزيل ملفات نظام عشوائية ونصوص مصدر لنصوص الويب، يمكن قراءتها بواسطة المستخدم الذي يعمل خادم http تحته. تم إخطار المطورين بالمشكلة في 17 سبتمبر، لكنهم لم يتمكنوا من إصدار التحديث إلا اليوم، بعد تسجيل حالات استغلال الثغرة الأمنية لمهاجمة مواقع الويب على الشبكة.
التخفيف من خطورة الثغرة الأمنية هو أن المشكلة تظهر فقط في الإصدار الذي تم إصداره مؤخرًا 2.4.49 ولا تؤثر على كافة الإصدارات السابقة. لم تستخدم الفروع المستقرة لتوزيعات الخوادم المحافظة الإصدار 2.4.49 بعد (Debian وRHEL وUbuntu وSUSE)، لكن المشكلة أثرت على التوزيعات التي يتم تحديثها باستمرار مثل Fedora وArch Linux وGentoo، بالإضافة إلى منافذ FreeBSD.
ترجع الثغرة الأمنية إلى خطأ حدث أثناء إعادة كتابة التعليمات البرمجية لتطبيع المسارات في معرفات URI، ونتيجة لذلك لن تتم تسوية حرف النقطة المشفر "%2e" في المسار إذا كانت مسبوقة بنقطة أخرى. وبالتالي، كان من الممكن استبدال الأحرف "../" الأولية في المسار الناتج عن طريق تحديد التسلسل ".%2e/" في الطلب. على سبيل المثال، طلب مثل "https://example.com/cgi-bin/.%2e/.%2e/.%2e/.%2e/etc/passwd" أو "https://example.com/cgi" -bin /.%2e/%2e%2e/%2e%2e/%2e%2e/etc/hosts" يسمح لك بالحصول على محتويات الملف "/etc/passwd".
لا تحدث المشكلة إذا تم رفض الوصول إلى الدلائل بشكل صريح باستخدام الإعداد "يتطلب رفض الكل". على سبيل المثال، للحماية الجزئية يمكنك تحديدها في ملف التكوين: تتطلب كل رفض
يعمل Apache httpd 2.4.50 أيضًا على إصلاح ثغرة أمنية أخرى (CVE-2021-41524) تؤثر على الوحدة النمطية التي تطبق بروتوكول HTTP/2. أتاحت الثغرة الأمنية إمكانية بدء إلغاء مرجعية المؤشر الفارغ عن طريق إرسال طلب معد خصيصًا والتسبب في تعطل العملية. وتظهر هذه الثغرة الأمنية أيضًا في الإصدار 2.4.49 فقط. كحل بديل للأمان، يمكنك تعطيل دعم بروتوكول HTTP/2.
المصدر: opennet.ru