Създадена е спешна актуализация на http сървъра Apache 2.4.50, която елиминира вече активно експлоатирана 0-дневна уязвимост (CVE-2021-41773), която позволява достъп до файлове от области извън основната директория на сайта. Използвайки уязвимостта, е възможно да се изтеглят произволни системни файлове и изходни текстове на уеб скриптове, които могат да се четат от потребителя, под който работи http сървърът. Разработчиците бяха уведомени за проблема на 17 септември, но успяха да пуснат актуализацията едва днес, след като в мрежата бяха регистрирани случаи на използване на уязвимостта за атака на уебсайтове.
Намаляването на опасността от уязвимостта е, че проблемът се появява само в наскоро издадената версия 2.4.49 и не засяга всички по-ранни версии. Стабилните клонове на консервативните сървърни дистрибуции все още не са използвали изданието 2.4.49 (Debian, RHEL, Ubuntu, SUSE), но проблемът засяга постоянно актуализирани дистрибуции като Fedora, Arch Linux и Gentoo, както и портовете на FreeBSD.
Уязвимостта се дължи на грешка, въведена по време на пренаписване на кода за нормализиране на пътеки в URI, поради което "%2e" кодиран знак за точка в пътя няма да бъде нормализиран, ако е предшестван от друга точка. По този начин беше възможно да се заменят необработени символи „../“ в получения път чрез указване на последователността „.%2e/“ в заявката. Например заявка като „https://example.com/cgi-bin/.%2e/.%2e/.%2e/.%2e/etc/passwd“ или „https://example.com/cgi -bin /.%2e/%2e%2e/%2e%2e/%2e%2e/etc/hosts" ви позволи да получите съдържанието на файла "/etc/passwd".
Проблемът не възниква, ако достъпът до директории е изрично отказан с помощта на настройката „изискване на всички отказани“. Например, за частична защита можете да посочите в конфигурационния файл: изискват всички отказани
Apache httpd 2.4.50 коригира и друга уязвимост (CVE-2021-41524), засягаща модул, изпълняващ HTTP/2 протокола. Уязвимостта направи възможно инициирането на дерефериране на нулев указател чрез изпращане на специално изработена заявка и причини срив на процеса. Тази уязвимост също се появява само във версия 2.4.49. Като заобиколно решение за сигурност можете да деактивирате поддръжката за HTTP/2 протокола.
Източник: opennet.ru