Apache 2.4.50 HTTP āĻ¸āĻžāĻ°ā§āĻāĻžāĻ°ā§ āĻāĻāĻāĻŋ āĻāĻ°ā§āĻ°ā§ āĻāĻĒāĻĄā§āĻ āĻ¤ā§āĻ°āĻŋ āĻāĻ°āĻž āĻšāĻ¯āĻŧā§āĻā§, āĻ¯āĻž āĻāĻ¤āĻŋāĻŽāĻ§ā§āĻ¯ā§ āĻ¸āĻā§āĻ°āĻŋāĻ¯āĻŧāĻāĻžāĻŦā§ āĻļā§āĻˇāĻŋāĻ¤ 0-āĻĻāĻŋāĻ¨ā§āĻ° āĻĻā§āĻ°ā§āĻŦāĻ˛āĻ¤āĻž (CVE-2021-41773) āĻĻā§āĻ° āĻāĻ°ā§, āĻ¯āĻž āĻ¸āĻžāĻāĻā§āĻ° āĻ°ā§āĻ āĻĄāĻŋāĻ°ā§āĻā§āĻāĻ°āĻŋāĻ° āĻŦāĻžāĻāĻ°ā§āĻ° āĻ āĻā§āĻāĻ˛ āĻĨā§āĻā§ āĻĢāĻžāĻāĻ˛āĻā§āĻ˛āĻŋāĻ¤ā§ āĻ ā§āĻ¯āĻžāĻā§āĻ¸ā§āĻ¸ā§āĻ° āĻ āĻ¨ā§āĻŽāĻ¤āĻŋ āĻĻā§āĻ¯āĻŧāĨ¤ āĻĻā§āĻ°ā§āĻŦāĻ˛āĻ¤āĻž āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°ā§, āĻ¨āĻŋāĻ°ā§āĻŦāĻŋāĻāĻžāĻ°ā§ āĻ¸āĻŋāĻ¸ā§āĻā§āĻŽ āĻĢāĻžāĻāĻ˛ āĻāĻŦāĻ āĻāĻ¯āĻŧā§āĻŦ āĻ¸ā§āĻā§āĻ°āĻŋāĻĒā§āĻā§āĻ° āĻāĻ¤ā§āĻ¸ āĻĒāĻžāĻ ā§āĻ¯ āĻĄāĻžāĻāĻ¨āĻ˛ā§āĻĄ āĻāĻ°āĻž āĻ¸āĻŽā§āĻāĻŦ, āĻ¯āĻžāĻ° āĻ āĻ§ā§āĻ¨ā§ HTTP āĻ¸āĻžāĻ°ā§āĻāĻžāĻ° āĻāĻ˛āĻā§ āĻ¤āĻžāĻ° āĻĻā§āĻŦāĻžāĻ°āĻž āĻĒāĻžāĻ āĻ¯ā§āĻā§āĻ¯āĨ¤ āĻĄā§āĻā§āĻ˛āĻĒāĻžāĻ°āĻĻā§āĻ° 17 āĻ¸ā§āĻĒā§āĻā§āĻŽā§āĻŦāĻ° āĻ¸āĻŽāĻ¸ā§āĻ¯āĻž āĻ¸āĻŽā§āĻĒāĻ°ā§āĻā§ āĻ āĻŦāĻšāĻŋāĻ¤ āĻāĻ°āĻž āĻšāĻ¯āĻŧā§āĻāĻŋāĻ˛, āĻāĻŋāĻ¨ā§āĻ¤ā§ āĻ¨ā§āĻāĻāĻ¯āĻŧāĻžāĻ°ā§āĻā§ āĻāĻ¯āĻŧā§āĻŦāĻ¸āĻžāĻāĻāĻā§āĻ˛āĻŋ āĻāĻā§āĻ°āĻŽāĻŖ āĻāĻ°āĻžāĻ° āĻāĻ¨ā§āĻ¯ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°āĻž āĻĻā§āĻ°ā§āĻŦāĻ˛āĻ¤āĻžāĻ° āĻāĻāĻ¨āĻžāĻā§āĻ˛āĻŋ āĻ°ā§āĻāĻ°ā§āĻĄ āĻāĻ°āĻžāĻ° āĻĒāĻ°ā§ āĻ¤āĻžāĻ°āĻž āĻļā§āĻ§ā§āĻŽāĻžāĻ¤ā§āĻ° āĻāĻāĻ āĻāĻĒāĻĄā§āĻāĻāĻŋ āĻĒā§āĻ°āĻāĻžāĻļ āĻāĻ°āĻ¤ā§ āĻ¸āĻā§āĻˇāĻŽ āĻšāĻ¯āĻŧā§āĻāĻŋāĻ˛āĨ¤
āĻĻā§āĻ°ā§āĻŦāĻ˛āĻ¤āĻžāĻ° āĻŦāĻŋāĻĒāĻĻ āĻĒā§āĻ°āĻļāĻŽāĻŋāĻ¤ āĻāĻ°āĻž āĻšāĻ˛ āĻ¯ā§ āĻ¸āĻŽāĻ¸ā§āĻ¯āĻžāĻāĻŋ āĻļā§āĻ§ā§āĻŽāĻžāĻ¤ā§āĻ° āĻ¸āĻŽā§āĻĒā§āĻ°āĻ¤āĻŋ āĻĒā§āĻ°āĻāĻžāĻļāĻŋāĻ¤ āĻ¸āĻāĻ¸ā§āĻāĻ°āĻŖ 2.4.49-āĻ āĻĒā§āĻ°āĻĻāĻ°ā§āĻļāĻŋāĻ¤ āĻšāĻ¯āĻŧ āĻāĻŦāĻ āĻ¸āĻŽāĻ¸ā§āĻ¤ āĻĒā§āĻ°ā§āĻŦāĻŦāĻ°ā§āĻ¤ā§ āĻĒā§āĻ°āĻāĻžāĻļāĻā§āĻ˛āĻŋāĻā§ āĻĒā§āĻ°āĻāĻžāĻŦāĻŋāĻ¤ āĻāĻ°ā§ āĻ¨āĻžāĨ¤ āĻ°āĻā§āĻˇāĻŖāĻļā§āĻ˛ āĻ¸āĻžāĻ°ā§āĻāĻžāĻ° āĻŦāĻŋāĻ¤āĻ°āĻŖā§āĻ° āĻ¸ā§āĻĨāĻŋāĻ¤āĻŋāĻļā§āĻ˛ āĻļāĻžāĻāĻžāĻā§āĻ˛āĻŋ āĻāĻāĻ¨āĻ 2.4.49 āĻ°āĻŋāĻ˛āĻŋāĻ (āĻĄā§āĻŦāĻŋāĻ¯āĻŧāĻžāĻ¨, āĻāĻ°āĻāĻāĻāĻāĻāĻ˛, āĻāĻŦā§āĻ¨ā§āĻā§, SUSE) āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°ā§āĻ¨āĻŋ, āĻ¤āĻŦā§ āĻ¸āĻŽāĻ¸ā§āĻ¯āĻžāĻāĻŋ āĻĢā§āĻĄā§āĻ°āĻž, āĻāĻ°ā§āĻ āĻ˛āĻŋāĻ¨āĻžāĻā§āĻ¸ āĻāĻŦāĻ āĻā§āĻ¨ā§āĻā§āĻ° āĻŽāĻ¤ā§ āĻā§āĻ°āĻŽāĻžāĻāĻ¤ āĻāĻĒāĻĄā§āĻ āĻšāĻāĻ¯āĻŧāĻž āĻŦāĻŋāĻ¤āĻ°āĻŖāĻā§āĻ˛āĻŋāĻā§ āĻĒā§āĻ°āĻāĻžāĻŦāĻŋāĻ¤ āĻāĻ°ā§āĻā§, āĻ¸ā§āĻāĻ¸āĻžāĻĨā§ FreeBSD-āĻāĻ° āĻĒā§āĻ°ā§āĻāĻā§āĻ˛āĻŋāĻā§āĻāĨ¤
URI-āĻ¤ā§ āĻĒāĻžāĻĨāĻā§āĻ˛āĻŋāĻā§ āĻ¸ā§āĻŦāĻžāĻāĻžāĻŦāĻŋāĻ āĻāĻ°āĻžāĻ° āĻāĻ¨ā§āĻ¯ āĻā§āĻĄā§āĻ° āĻĒā§āĻ¨āĻ°ā§āĻ˛āĻŋāĻāĻ¨ā§āĻ° āĻ¸āĻŽāĻ¯āĻŧ āĻāĻāĻāĻŋ āĻŦāĻžāĻ āĻĒā§āĻ°āĻŦāĻ°ā§āĻ¤āĻŋāĻ¤ āĻšāĻāĻ¯āĻŧāĻžāĻ° āĻāĻžāĻ°āĻŖā§ āĻĻā§āĻ°ā§āĻŦāĻ˛āĻ¤āĻž, āĻ¯āĻžāĻ° āĻāĻžāĻ°āĻŖā§ āĻāĻāĻāĻŋ āĻĒāĻžāĻĨā§ āĻāĻāĻāĻŋ "%2e" āĻāĻ¨āĻā§āĻĄā§āĻĄ āĻĄāĻ āĻ āĻā§āĻˇāĻ° āĻ āĻ¨ā§āĻ¯ āĻĄāĻ āĻĻā§āĻŦāĻžāĻ°āĻž āĻĒā§āĻ°ā§āĻŦā§ āĻĨāĻžāĻāĻ˛ā§ āĻ¸ā§āĻāĻŋāĻā§ āĻ¸ā§āĻŦāĻžāĻāĻžāĻŦāĻŋāĻ āĻāĻ°āĻž āĻšāĻŦā§ āĻ¨āĻžāĨ¤ āĻāĻāĻāĻžāĻŦā§, āĻ āĻ¨ā§āĻ°ā§āĻ§ā§ āĻā§āĻ°āĻŽ ".%2e/" āĻ¨āĻŋāĻ°ā§āĻĻāĻŋāĻˇā§āĻ āĻāĻ°ā§ āĻĢāĻ˛ā§āĻ° āĻĒāĻžāĻĨā§ āĻāĻžāĻāĻāĻž "../" āĻ āĻā§āĻˇāĻ°āĻā§āĻ˛āĻŋ āĻĒā§āĻ°āĻ¤āĻŋāĻ¸ā§āĻĨāĻžāĻĒāĻ¨ āĻāĻ°āĻž āĻ¸āĻŽā§āĻāĻŦ āĻšāĻ¯āĻŧā§āĻāĻŋāĻ˛ā§ˇ āĻāĻĻāĻžāĻšāĻ°āĻŖāĻ¸ā§āĻŦāĻ°ā§āĻĒ, "https://example.com/cgi-bin/.%2e/.%2e/.%2e/.%2e/etc/passwd" āĻŦāĻž "https://example.com/cgi" āĻāĻ° āĻŽāĻ¤ā§ āĻāĻāĻāĻŋ āĻ āĻ¨ā§āĻ°ā§āĻ§ -bin /.%2e/%2e%2e/%2e%2e/%2e%2e/etc/hosts" āĻāĻĒāĻ¨āĻžāĻā§ "/etc/passwd" āĻĢāĻžāĻāĻ˛ā§āĻ° āĻŦāĻŋāĻˇāĻ¯āĻŧāĻŦāĻ¸ā§āĻ¤ā§ āĻĒā§āĻ¤ā§ āĻ āĻ¨ā§āĻŽāĻ¤āĻŋ āĻĻā§āĻ¯āĻŧāĨ¤
"āĻ¸āĻŽāĻ¸ā§āĻ¤ āĻ āĻ¸ā§āĻŦā§āĻāĻžāĻ° āĻāĻ°āĻž āĻĒā§āĻ°āĻ¯āĻŧā§āĻāĻ¨" āĻ¸ā§āĻāĻŋāĻ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°ā§ āĻĄāĻŋāĻ°ā§āĻā§āĻāĻ°āĻŋāĻ¤ā§ āĻ ā§āĻ¯āĻžāĻā§āĻ¸ā§āĻ¸ āĻ¸ā§āĻĒāĻˇā§āĻāĻāĻžāĻŦā§ āĻ āĻ¸ā§āĻŦā§āĻāĻžāĻ° āĻāĻ°āĻž āĻšāĻ˛ā§ āĻ¸āĻŽāĻ¸ā§āĻ¯āĻžāĻāĻŋ āĻāĻāĻŦā§ āĻ¨āĻžāĨ¤ āĻāĻĻāĻžāĻšāĻ°āĻŖāĻ¸ā§āĻŦāĻ°ā§āĻĒ, āĻāĻāĻļāĻŋāĻ āĻ¸ā§āĻ°āĻā§āĻˇāĻžāĻ° āĻāĻ¨ā§āĻ¯ āĻāĻĒāĻ¨āĻŋ āĻāĻ¨āĻĢāĻŋāĻāĻžāĻ°ā§āĻļāĻ¨ āĻĢāĻžāĻāĻ˛ā§ āĻ¨āĻŋāĻ°ā§āĻĻāĻŋāĻˇā§āĻ āĻāĻ°āĻ¤ā§ āĻĒāĻžāĻ°ā§āĻ¨: āĻ¸āĻŦ āĻ āĻ¸ā§āĻŦā§āĻāĻžāĻ° āĻāĻ°āĻž āĻĒā§āĻ°āĻ¯āĻŧā§āĻāĻ¨
Apache httpd 2.4.50 āĻāĻ°ā§āĻāĻāĻŋ āĻĻā§āĻ°ā§āĻŦāĻ˛āĻ¤āĻž (CVE-2021-41524) āĻ¸āĻāĻļā§āĻ§āĻ¨ āĻāĻ°ā§ āĻ¯āĻž HTTP/2 āĻĒā§āĻ°ā§āĻā§āĻāĻ˛ āĻŦāĻžāĻ¸ā§āĻ¤āĻŦāĻžāĻ¯āĻŧāĻ¨āĻāĻžāĻ°ā§ āĻāĻāĻāĻŋ āĻŽāĻĄāĻŋāĻāĻ˛āĻā§ āĻĒā§āĻ°āĻāĻžāĻŦāĻŋāĻ¤ āĻāĻ°ā§āĨ¤ āĻĻā§āĻ°ā§āĻŦāĻ˛āĻ¤āĻžāĻ° āĻāĻžāĻ°āĻŖā§ āĻāĻāĻāĻŋ āĻŦāĻŋāĻļā§āĻˇāĻāĻžāĻŦā§ āĻ¤ā§āĻ°āĻŋ āĻāĻ°āĻž āĻ
āĻ¨ā§āĻ°ā§āĻ§ āĻĒāĻžāĻ āĻžāĻ¨ā§āĻ° āĻŽāĻžāĻ§ā§āĻ¯āĻŽā§ āĻ¨āĻžāĻ˛ āĻĒāĻ¯āĻŧā§āĻ¨ā§āĻāĻžāĻ° āĻĄāĻŋāĻ°ā§āĻĢāĻžāĻ°ā§āĻ¨ā§āĻ¸ āĻļā§āĻ°ā§ āĻāĻ°āĻž āĻ¸āĻŽā§āĻāĻŦ āĻšāĻ¯āĻŧā§āĻā§ āĻāĻŦāĻ āĻĒā§āĻ°āĻā§āĻ°āĻŋāĻ¯āĻŧāĻžāĻāĻŋ āĻā§āĻ°ā§āĻ¯āĻžāĻļ āĻšāĻ¯āĻŧā§ āĻā§āĻā§āĨ¤ āĻāĻ āĻĻā§āĻ°ā§āĻŦāĻ˛āĻ¤āĻž āĻļā§āĻ§ā§āĻŽāĻžāĻ¤ā§āĻ° āĻ¸āĻāĻ¸ā§āĻāĻ°āĻŖ 2.4.49 āĻāĻ āĻĻā§āĻāĻž āĻ¯āĻžāĻ¯āĻŧāĨ¤ āĻāĻāĻāĻŋ āĻ¨āĻŋāĻ°āĻžāĻĒāĻ¤ā§āĻ¤āĻž āĻ¸āĻŽāĻžāĻ§āĻžāĻ¨ āĻšāĻŋāĻ¸āĻžāĻŦā§, āĻāĻĒāĻ¨āĻŋ HTTP/2 āĻĒā§āĻ°ā§āĻā§āĻāĻ˛ā§āĻ° āĻāĻ¨ā§āĻ¯ āĻ¸āĻŽāĻ°ā§āĻĨāĻ¨ āĻ
āĻā§āĻˇāĻŽ āĻāĻ°āĻ¤ā§ āĻĒāĻžāĻ°ā§āĻ¨āĨ¤
āĻāĻ¤ā§āĻ¸: opennet.ru