У http-серверы (nhttpd) уразлівасць
(CVE-2019-16278), якая дазваляе атакаваламу выдалена выканаць свой код на серверы праз адпраўку спецыяльна аформленага HTTP-запыту. Праблема будзе ўхілена ў выпуску (яшчэ не апублікаваны). Мяркуючы па інфармацыі ад пошукавай сістэмы Shodan http-сервер Nostromo выкарыстоўваецца прыкладна на 2000 публічна даступных хастах.
Уразлівасць выклікана памылкай у функцыі http_verify, якая прапускае зварот да змесціва файлавай сістэмы за межамі каранёвага каталога сайта праз перадачу ў шляхі паслядоўнасці «.%0d./». Уразлівасць выяўляецца бо праверка на наяўнасць знакаў "../" вырабляецца да выканання функцыі нармалізацыі шляху, у якой з радка выдаляюцца знакі перакладу радка (%0d).
Для уразлівасці можна звярнуцца да /bin/sh замест CGI-скрыпту і выканаць любую shell-канструкцыю, даслаўшы POST-запыт да URI «/.%0d./.%0d./.%0d./.%0d./bin/sh » і перадаўшы каманды ў целе запыту. Цікава, што ў 2011 годзе ў Nostromo ужо была выпраўлена падобная ўразлівасць (CVE-2011-0751), якая дазваляла атакаваць праз адпраўку запыту "/..%2f..%2f..%2fbin/sh".
Крыніца: opennet.ru