Apache 2.4.50 http serverinə təcili yeniləmə yaradılmışdır ki, bu da saytın kök kataloqundan kənar ərazilərdən fayllara daxil olmağa imkan verən artıq aktiv şəkildə istifadə edilən 0 günlük zəifliyi (CVE-2021-41773) aradan qaldırır. Zəiflikdən istifadə edərək http serverinin işlədiyi istifadəçi tərəfindən oxuna bilən ixtiyari sistem fayllarını və veb skriptlərin mənbə mətnlərini yükləmək mümkündür. Tərtibatçılara problem barədə sentyabrın 17-də məlumat verilib, lakin şəbəkədə boşluqların vebsaytlara hücum üçün istifadə edilməsi halları qeydə alındıqdan sonra yeniləməni yalnız bu gün buraxa biliblər.
Zəifliyin təhlükəsini azaltmaq ondan ibarətdir ki, problem yalnız bu yaxınlarda buraxılmış 2.4.49 versiyasında görünür və bütün əvvəlki buraxılışlara təsir etmir. Mühafizəkar server paylamalarının sabit filialları hələ 2.4.49 buraxılışından istifadə etməyiblər (Debian, RHEL, Ubuntu, SUSE), lakin problem Fedora, Arch Linux və Gentoo kimi davamlı yenilənən paylanmalara, həmçinin FreeBSD portlarına təsir edib.
Zəiflik URI-lərdə yolları normallaşdırmaq üçün kodun yenidən yazılması zamanı təqdim edilən səhvlə bağlıdır, buna görə yoldakı "%2e" kodlanmış nöqtə simvolu, əgər ondan əvvəl başqa nöqtə varsa, normallaşdırılmayacaq. Beləliklə, sorğuda “.%2e/” ardıcıllığını göstərməklə nəticədə “../” simvollarını əvəz etmək mümkün oldu. Məsələn, “https://example.com/cgi-bin/.%2e/.%2e/.%2e/.%2e/etc/passwd” və ya “https://example.com/cgi” kimi sorğu -bin /.%2e/%2e%2e/%2e%2e/%2e%2e/etc/hosts” “/etc/passwd” faylının məzmununu əldə etməyə imkan verdi.
Əgər “hamısına rədd cavabı tələb et” parametrindən istifadə edərək qovluqlara giriş açıq şəkildə rədd edilərsə, problem yaranmır. Məsələn, qismən qorunma üçün konfiqurasiya faylında qeyd edə bilərsiniz: hamısının inkar edilməsini tələb edir
Apache httpd 2.4.50 həmçinin HTTP/2021 protokolunu həyata keçirən modula təsir edən digər zəifliyi (CVE-41524-2) düzəldir. Zəiflik xüsusi hazırlanmış sorğu göndərməklə null göstəriciyə istinad etməyə başlamağa və prosesin çökməsinə səbəb olmağa imkan verdi. Bu boşluq yalnız 2.4.49 versiyasında da görünür. Təhlükəsizlik həlli olaraq, HTTP/2 protokolu üçün dəstəyi söndürə bilərsiniz.
Mənbə: opennet.ru