āĻĒā§āĻ°ā§‹āĻšā§‹āĻ¸ā§āĻŸāĻžāĻ° > БĐģĐžĐŗ > āĻ‡āĻ¨ā§āĻŸāĻžāĻ°āĻ¨ā§‡āĻŸ āĻ–āĻŦāĻ° > Nostromo HTTP āĻ¸āĻžāĻ°ā§āĻ­āĻžāĻ°ā§‡ āĻĻā§āĻ°ā§āĻŦāĻ˛āĻ¤āĻž āĻĻā§‚āĻ°āĻŦāĻ°ā§āĻ¤ā§€ āĻ•ā§‹āĻĄ āĻ¨āĻŋāĻ°ā§āĻŦāĻžāĻšā§‡āĻ° āĻĻāĻŋāĻ•ā§‡ āĻĒāĻ°āĻŋāĻšāĻžāĻ˛āĻŋāĻ¤ āĻ•āĻ°ā§‡

Nostromo HTTP āĻ¸āĻžāĻ°ā§āĻ­āĻžāĻ°ā§‡ āĻĻā§āĻ°ā§āĻŦāĻ˛āĻ¤āĻž āĻĻā§‚āĻ°āĻŦāĻ°ā§āĻ¤ā§€ āĻ•ā§‹āĻĄ āĻ¨āĻŋāĻ°ā§āĻŦāĻžāĻšā§‡āĻ° āĻĻāĻŋāĻ•ā§‡ āĻĒāĻ°āĻŋāĻšāĻžāĻ˛āĻŋāĻ¤ āĻ•āĻ°ā§‡

http āĻ¸āĻžāĻ°ā§āĻ­āĻžāĻ°ā§‡ Nostromo (nhttpd) āĻšāĻŋāĻšā§āĻ¨āĻŋāĻ¤ āĻĻā§āĻ°ā§āĻŦāĻ˛āĻ¤āĻž
(CVE-2019-16278), āĻ¯āĻž āĻāĻ•āĻœāĻ¨ āĻ†āĻ•ā§āĻ°āĻŽāĻŖāĻ•āĻžāĻ°ā§€āĻ•ā§‡ āĻŦāĻŋāĻļā§‡āĻˇāĻ­āĻžāĻŦā§‡ āĻ¤ā§ˆāĻ°āĻŋ āĻ•āĻ°āĻž HTTP āĻ…āĻ¨ā§āĻ°ā§‹āĻ§ āĻĒāĻžāĻ āĻŋāĻ¯āĻŧā§‡ āĻ¸āĻžāĻ°ā§āĻ­āĻžāĻ°ā§‡ āĻĻā§‚āĻ°āĻŦāĻ°ā§āĻ¤ā§€āĻ­āĻžāĻŦā§‡ āĻ•ā§‹āĻĄ āĻšāĻžāĻ˛āĻžāĻ¨ā§‹āĻ° āĻ…āĻ¨ā§āĻŽāĻ¤āĻŋ āĻĻā§‡āĻ¯āĻŧāĨ¤ āĻ°āĻŋāĻ˛āĻŋāĻœā§‡ āĻ¸āĻŽāĻ¸ā§āĻ¯āĻž āĻ āĻŋāĻ• āĻ•āĻ°āĻž āĻšāĻŦā§‡ 1.9.7 (āĻāĻ–āĻ¨āĻ“ āĻĒā§āĻ°āĻ•āĻžāĻļāĻŋāĻ¤ āĻšāĻ¯āĻŧāĻ¨āĻŋ)āĨ¤ āĻļā§‹āĻĄāĻžāĻ¨ āĻ¸āĻžāĻ°ā§āĻš āĻ‡āĻžā§āĻœāĻŋāĻ¨ āĻĨā§‡āĻ•ā§‡ āĻĒā§āĻ°āĻžāĻĒā§āĻ¤ āĻ¤āĻĨā§āĻ¯ā§‡āĻ° āĻ­āĻŋāĻ¤ā§āĻ¤āĻŋāĻ¤ā§‡, āĻ¨āĻ¸ā§āĻŸā§āĻ°ā§‹āĻŽā§‹ HTTP āĻ¸āĻžāĻ°ā§āĻ­āĻžāĻ°āĻŸāĻŋ āĻĒā§āĻ°āĻžāĻ¯āĻŧ 2000āĻŸāĻŋ āĻ¸āĻ°ā§āĻŦāĻœāĻ¨ā§€āĻ¨āĻ­āĻžāĻŦā§‡ āĻ…ā§āĻ¯āĻžāĻ•ā§āĻ¸ā§‡āĻ¸āĻ¯ā§‹āĻ—ā§āĻ¯ āĻšā§‹āĻ¸ā§āĻŸā§‡ āĻŦā§āĻ¯āĻŦāĻšā§ƒāĻ¤ āĻšāĻ¯āĻŧāĨ¤

āĻĻā§āĻ°ā§āĻŦāĻ˛āĻ¤āĻž http_verify āĻĢāĻžāĻ‚āĻļāĻ¨ā§‡āĻ° āĻāĻ•āĻŸāĻŋ āĻ¤ā§āĻ°ā§āĻŸāĻŋāĻ° āĻ•āĻžāĻ°āĻŖā§‡ āĻ˜āĻŸā§‡, āĻ¯āĻž āĻĒāĻžāĻĨā§‡āĻ° āĻ•ā§āĻ°āĻŽ ".%0d./" āĻĒāĻžāĻ¸ āĻ•āĻ°ā§‡ āĻ¸āĻžāĻ‡āĻŸā§‡āĻ° āĻ°ā§āĻŸ āĻĄāĻŋāĻ°ā§‡āĻ•ā§āĻŸāĻ°āĻŋāĻ° āĻŦāĻžāĻ‡āĻ°ā§‡ āĻĢāĻžāĻ‡āĻ˛ āĻ¸āĻŋāĻ¸ā§āĻŸā§‡āĻŽ āĻ¸āĻžāĻŽāĻ—ā§āĻ°ā§€āĻ¤ā§‡ āĻ…ā§āĻ¯āĻžāĻ•ā§āĻ¸ā§‡āĻ¸ āĻŽāĻŋāĻ¸ āĻ•āĻ°ā§‡āĨ¤ āĻĻā§āĻ°ā§āĻŦāĻ˛āĻ¤āĻž āĻ˜āĻŸā§‡ āĻ•āĻžāĻ°āĻŖ āĻĒāĻĨ āĻ¸ā§āĻŦāĻžāĻ­āĻžāĻŦāĻŋāĻ•ā§€āĻ•āĻ°āĻŖ āĻĢāĻžāĻ‚āĻļāĻ¨āĻŸāĻŋ āĻ•āĻžāĻ°ā§āĻ¯āĻ•āĻ° āĻ•āĻ°āĻžāĻ° āĻ†āĻ—ā§‡ “../” āĻ…āĻ•ā§āĻˇāĻ°ā§‡āĻ° āĻ‰āĻĒāĻ¸ā§āĻĨāĻŋāĻ¤āĻŋāĻ° āĻœāĻ¨ā§āĻ¯ āĻāĻ•āĻŸāĻŋ āĻĒāĻ°ā§€āĻ•ā§āĻˇāĻž āĻ•āĻ°āĻž āĻšāĻ¯āĻŧ, āĻ¯ā§‡āĻ–āĻžāĻ¨ā§‡ āĻ¨āĻ¤ā§āĻ¨ āĻ˛āĻžāĻ‡āĻ¨ā§‡āĻ° āĻ…āĻ•ā§āĻˇāĻ° (%0d) āĻ¸ā§āĻŸā§āĻ°āĻŋāĻ‚ āĻĨā§‡āĻ•ā§‡ āĻ¸āĻ°āĻžāĻ¨ā§‹ āĻšāĻ¯āĻŧāĨ¤

āĻĨā§‡āĻ•ā§‡ āĻ…āĻĒāĻžāĻ°ā§‡āĻŸāĻŋāĻ‚ āĻĻā§āĻ°ā§āĻŦāĻ˛āĻ¤āĻž, āĻ†āĻĒāĻ¨āĻŋ āĻāĻ•āĻŸāĻŋ CGI āĻ¸ā§āĻ•ā§āĻ°āĻŋāĻĒā§āĻŸā§‡āĻ° āĻĒāĻ°āĻŋāĻŦāĻ°ā§āĻ¤ā§‡ /bin/sh āĻ…ā§āĻ¯āĻžāĻ•ā§āĻ¸ā§‡āĻ¸ āĻ•āĻ°āĻ¤ā§‡ āĻĒāĻžāĻ°ā§‡āĻ¨ āĻāĻŦāĻ‚ URI “/.%0d./.%0d./.%0d./.%0d./bin-āĻ āĻāĻ•āĻŸāĻŋ POST āĻ…āĻ¨ā§āĻ°ā§‹āĻ§ āĻĒāĻžāĻ āĻŋāĻ¯āĻŧā§‡ āĻ¯ā§‡āĻ•ā§‹āĻ¨ā§‹ āĻļā§‡āĻ˛ āĻ¨āĻŋāĻ°ā§āĻŽāĻžāĻŖ āĻšāĻžāĻ˛āĻžāĻ¤ā§‡ āĻĒāĻžāĻ°ā§‡āĻ¨āĨ¤ /sh " āĻāĻŦāĻ‚ āĻ…āĻ¨ā§āĻ°ā§‹āĻ§ā§‡āĻ° āĻŽā§‚āĻ˛ āĻ…āĻ‚āĻļā§‡ āĻ•āĻŽāĻžāĻ¨ā§āĻĄāĻ—ā§āĻ˛āĻŋ āĻĒāĻžāĻ¸ āĻ•āĻ°āĻžāĨ¤ āĻŽāĻœāĻžāĻ° āĻŦāĻŋāĻˇāĻ¯āĻŧ āĻšāĻ˛, 2011 āĻ¸āĻžāĻ˛ā§‡, āĻ¨āĻ¸ā§āĻŸā§āĻ°ā§‹āĻŽā§‹āĻ¤ā§‡ āĻāĻ•āĻŸāĻŋ āĻ…āĻ¨ā§āĻ°ā§‚āĻĒ āĻĻā§āĻ°ā§āĻŦāĻ˛āĻ¤āĻž (CVE-2011-0751) āĻ‡āĻ¤āĻŋāĻŽāĻ§ā§āĻ¯ā§‡āĻ‡ āĻ āĻŋāĻ• āĻ•āĻ°āĻž āĻšāĻ¯āĻŧā§‡āĻ›āĻŋāĻ˛, āĻ¯āĻž "/..%2f..%2f..%2fbin/sh" āĻ…āĻ¨ā§āĻ°ā§‹āĻ§ āĻĒāĻžāĻ āĻŋāĻ¯āĻŧā§‡ āĻ†āĻ•ā§āĻ°āĻŽāĻŖā§‡āĻ° āĻ…āĻ¨ā§āĻŽāĻ¤āĻŋ āĻĻā§‡āĻ¯āĻŧā§ˇ

āĻ‰āĻ¤ā§āĻ¸: opennet.ru

āĻāĻ•āĻŸāĻŋ āĻŽāĻ¨ā§āĻ¤āĻŦā§āĻ¯ āĻœā§āĻĄāĻŧā§āĻ¨