http āĻ¸āĻžāĻ°ā§āĻāĻžāĻ°ā§ Nostromo (nhttpd) āĻāĻŋāĻšā§āĻ¨āĻŋāĻ¤ āĻĻā§āĻ°ā§āĻŦāĻ˛āĻ¤āĻž
(CVE-2019-16278), āĻ¯āĻž āĻāĻāĻāĻ¨ āĻāĻā§āĻ°āĻŽāĻŖāĻāĻžāĻ°ā§āĻā§ āĻŦāĻŋāĻļā§āĻˇāĻāĻžāĻŦā§ āĻ¤ā§āĻ°āĻŋ āĻāĻ°āĻž HTTP āĻ
āĻ¨ā§āĻ°ā§āĻ§ āĻĒāĻžāĻ āĻŋāĻ¯āĻŧā§ āĻ¸āĻžāĻ°ā§āĻāĻžāĻ°ā§ āĻĻā§āĻ°āĻŦāĻ°ā§āĻ¤ā§āĻāĻžāĻŦā§ āĻā§āĻĄ āĻāĻžāĻ˛āĻžāĻ¨ā§āĻ° āĻ
āĻ¨ā§āĻŽāĻ¤āĻŋ āĻĻā§āĻ¯āĻŧāĨ¤ āĻ°āĻŋāĻ˛āĻŋāĻā§ āĻ¸āĻŽāĻ¸ā§āĻ¯āĻž āĻ āĻŋāĻ āĻāĻ°āĻž āĻšāĻŦā§ 1.9.7 (āĻāĻāĻ¨āĻ āĻĒā§āĻ°āĻāĻžāĻļāĻŋāĻ¤ āĻšāĻ¯āĻŧāĻ¨āĻŋ)āĨ¤ āĻļā§āĻĄāĻžāĻ¨ āĻ¸āĻžāĻ°ā§āĻ āĻāĻā§āĻāĻŋāĻ¨ āĻĨā§āĻā§ āĻĒā§āĻ°āĻžāĻĒā§āĻ¤ āĻ¤āĻĨā§āĻ¯ā§āĻ° āĻāĻŋāĻ¤ā§āĻ¤āĻŋāĻ¤ā§, āĻ¨āĻ¸ā§āĻā§āĻ°ā§āĻŽā§ HTTP āĻ¸āĻžāĻ°ā§āĻāĻžāĻ°āĻāĻŋ āĻĒā§āĻ°āĻžāĻ¯āĻŧ 2000āĻāĻŋ āĻ¸āĻ°ā§āĻŦāĻāĻ¨ā§āĻ¨āĻāĻžāĻŦā§ āĻ
ā§āĻ¯āĻžāĻā§āĻ¸ā§āĻ¸āĻ¯ā§āĻā§āĻ¯ āĻšā§āĻ¸ā§āĻā§ āĻŦā§āĻ¯āĻŦāĻšā§āĻ¤ āĻšāĻ¯āĻŧāĨ¤
āĻĻā§āĻ°ā§āĻŦāĻ˛āĻ¤āĻž http_verify āĻĢāĻžāĻāĻļāĻ¨ā§āĻ° āĻāĻāĻāĻŋ āĻ¤ā§āĻ°ā§āĻāĻŋāĻ° āĻāĻžāĻ°āĻŖā§ āĻāĻā§, āĻ¯āĻž āĻĒāĻžāĻĨā§āĻ° āĻā§āĻ°āĻŽ ".%0d./" āĻĒāĻžāĻ¸ āĻāĻ°ā§ āĻ¸āĻžāĻāĻā§āĻ° āĻ°ā§āĻ āĻĄāĻŋāĻ°ā§āĻā§āĻāĻ°āĻŋāĻ° āĻŦāĻžāĻāĻ°ā§ āĻĢāĻžāĻāĻ˛ āĻ¸āĻŋāĻ¸ā§āĻā§āĻŽ āĻ¸āĻžāĻŽāĻā§āĻ°ā§āĻ¤ā§ āĻ
ā§āĻ¯āĻžāĻā§āĻ¸ā§āĻ¸ āĻŽāĻŋāĻ¸ āĻāĻ°ā§āĨ¤ āĻĻā§āĻ°ā§āĻŦāĻ˛āĻ¤āĻž āĻāĻā§ āĻāĻžāĻ°āĻŖ āĻĒāĻĨ āĻ¸ā§āĻŦāĻžāĻāĻžāĻŦāĻŋāĻā§āĻāĻ°āĻŖ āĻĢāĻžāĻāĻļāĻ¨āĻāĻŋ āĻāĻžāĻ°ā§āĻ¯āĻāĻ° āĻāĻ°āĻžāĻ° āĻāĻā§ â../â āĻ
āĻā§āĻˇāĻ°ā§āĻ° āĻāĻĒāĻ¸ā§āĻĨāĻŋāĻ¤āĻŋāĻ° āĻāĻ¨ā§āĻ¯ āĻāĻāĻāĻŋ āĻĒāĻ°ā§āĻā§āĻˇāĻž āĻāĻ°āĻž āĻšāĻ¯āĻŧ, āĻ¯ā§āĻāĻžāĻ¨ā§ āĻ¨āĻ¤ā§āĻ¨ āĻ˛āĻžāĻāĻ¨ā§āĻ° āĻ
āĻā§āĻˇāĻ° (%0d) āĻ¸ā§āĻā§āĻ°āĻŋāĻ āĻĨā§āĻā§ āĻ¸āĻ°āĻžāĻ¨ā§ āĻšāĻ¯āĻŧāĨ¤
āĻĨā§āĻā§ āĻ
āĻĒāĻžāĻ°ā§āĻāĻŋāĻ āĻĻā§āĻ°ā§āĻŦāĻ˛āĻ¤āĻž, āĻāĻĒāĻ¨āĻŋ āĻāĻāĻāĻŋ CGI āĻ¸ā§āĻā§āĻ°āĻŋāĻĒā§āĻā§āĻ° āĻĒāĻ°āĻŋāĻŦāĻ°ā§āĻ¤ā§ /bin/sh āĻ
ā§āĻ¯āĻžāĻā§āĻ¸ā§āĻ¸ āĻāĻ°āĻ¤ā§ āĻĒāĻžāĻ°ā§āĻ¨ āĻāĻŦāĻ URI â/.%0d./.%0d./.%0d./.%0d./bin-āĻ āĻāĻāĻāĻŋ POST āĻ
āĻ¨ā§āĻ°ā§āĻ§ āĻĒāĻžāĻ āĻŋāĻ¯āĻŧā§ āĻ¯ā§āĻā§āĻ¨ā§ āĻļā§āĻ˛ āĻ¨āĻŋāĻ°ā§āĻŽāĻžāĻŖ āĻāĻžāĻ˛āĻžāĻ¤ā§ āĻĒāĻžāĻ°ā§āĻ¨āĨ¤ /sh " āĻāĻŦāĻ āĻ
āĻ¨ā§āĻ°ā§āĻ§ā§āĻ° āĻŽā§āĻ˛ āĻ
āĻāĻļā§ āĻāĻŽāĻžāĻ¨ā§āĻĄāĻā§āĻ˛āĻŋ āĻĒāĻžāĻ¸ āĻāĻ°āĻžāĨ¤ āĻŽāĻāĻžāĻ° āĻŦāĻŋāĻˇāĻ¯āĻŧ āĻšāĻ˛, 2011 āĻ¸āĻžāĻ˛ā§, āĻ¨āĻ¸ā§āĻā§āĻ°ā§āĻŽā§āĻ¤ā§ āĻāĻāĻāĻŋ āĻ
āĻ¨ā§āĻ°ā§āĻĒ āĻĻā§āĻ°ā§āĻŦāĻ˛āĻ¤āĻž (CVE-2011-0751) āĻāĻ¤āĻŋāĻŽāĻ§ā§āĻ¯ā§āĻ āĻ āĻŋāĻ āĻāĻ°āĻž āĻšāĻ¯āĻŧā§āĻāĻŋāĻ˛, āĻ¯āĻž "/..%2f..%2f..%2fbin/sh" āĻ
āĻ¨ā§āĻ°ā§āĻ§ āĻĒāĻžāĻ āĻŋāĻ¯āĻŧā§ āĻāĻā§āĻ°āĻŽāĻŖā§āĻ° āĻ
āĻ¨ā§āĻŽāĻ¤āĻŋ āĻĻā§āĻ¯āĻŧā§ˇ
āĻāĻ¤ā§āĻ¸: opennet.ru