āĻ¨āĻ¤ā§āĻ¨ āĻ°āĻŋāĻ˛āĻŋāĻā§ "--āĻĒā§āĻ¨āĻ°āĻžāĻ¯āĻŧ āĻā§āĻˇā§āĻāĻž-āĻ¸āĻŽāĻ¸ā§āĻ¤-āĻ¤ā§āĻ°ā§āĻāĻŋ" āĻŦāĻŋāĻāĻ˛ā§āĻĒ āĻ¯ā§āĻ āĻāĻ°āĻž āĻšāĻ¯āĻŧā§āĻā§ āĻ¯āĻĻāĻŋ āĻā§āĻ¨ā§ āĻ¤ā§āĻ°ā§āĻāĻŋ āĻĻā§āĻāĻž āĻĻā§āĻ¯āĻŧ āĻāĻŦāĻ āĻĻā§āĻāĻŋ āĻĻā§āĻ°ā§āĻŦāĻ˛āĻ¤āĻž āĻ āĻŋāĻ āĻāĻ°ā§ āĻ¤āĻžāĻšāĻ˛ā§ āĻ āĻĒāĻžāĻ°ā§āĻļāĻ¨ āĻĒā§āĻ¨āĻ°āĻžāĻ¯āĻŧ āĻā§āĻˇā§āĻāĻž āĻāĻ°āĻžāĻ° āĻāĻ¨ā§āĻ¯:
-
āĻā§āĻˇāĻ¤āĻŋāĻā§āĻ°āĻ¸ā§āĻĨāĻ¤āĻž āĻāĻ¨ā§āĻ¯ CVE-2020-8177 āĻāĻā§āĻ°āĻŽāĻŖāĻāĻžāĻ°ā§ āĻĻā§āĻŦāĻžāĻ°āĻž āĻ¨āĻŋāĻ¯āĻŧāĻ¨ā§āĻ¤ā§āĻ°āĻŋāĻ¤ āĻāĻāĻāĻŋ āĻ¸āĻžāĻ°ā§āĻāĻžāĻ° āĻ ā§āĻ¯āĻžāĻā§āĻ¸ā§āĻ¸ āĻāĻ°āĻžāĻ° āĻ¸āĻŽāĻ¯āĻŧ āĻāĻĒāĻ¨āĻžāĻā§ āĻ¸āĻŋāĻ¸ā§āĻā§āĻŽā§ āĻāĻāĻāĻŋ āĻ¸ā§āĻĨāĻžāĻ¨ā§āĻ¯āĻŧ āĻĢāĻžāĻāĻ˛ āĻāĻāĻžāĻ°āĻ°āĻžāĻāĻ āĻāĻ°āĻ¤ā§ āĻĻā§āĻ¯āĻŧāĨ¤ āĻ¸āĻŽāĻ¸ā§āĻ¯āĻžāĻāĻŋ āĻ¤āĻāĻ¨āĻ āĻĻā§āĻāĻž āĻ¯āĻžāĻ¯āĻŧ āĻ¯āĻāĻ¨ â-Jâ (ââremote-header-nameâ) āĻāĻŦāĻ â-iâ (ââheadâ) āĻŦāĻŋāĻāĻ˛ā§āĻĒāĻā§āĻ˛āĻŋ āĻāĻāĻ āĻ¸āĻžāĻĨā§ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°āĻž āĻšāĻ¯āĻŧāĨ¤ "-J" āĻŦāĻŋāĻāĻ˛ā§āĻĒāĻāĻŋ āĻāĻĒāĻ¨āĻžāĻā§ āĻšā§āĻĄāĻžāĻ°ā§ āĻāĻ˛ā§āĻ˛ā§āĻāĻŋāĻ¤ āĻ¨āĻžāĻŽā§āĻ° āĻ¸āĻžāĻĨā§ āĻĢāĻžāĻāĻ˛āĻāĻŋ āĻ¸āĻāĻ°āĻā§āĻˇāĻŖ āĻāĻ°āĻ¤ā§ āĻĻā§āĻ¯āĻŧ
"āĻāĻ¨ā§āĻā§āĻ¨ā§āĻ-āĻĄāĻŋāĻ¸āĻĒā§āĻāĻŋāĻļāĻ¨"āĨ¤ āĻ¯āĻĻāĻŋ āĻāĻāĻ āĻ¨āĻžāĻŽā§āĻ° āĻāĻāĻāĻŋ āĻĢāĻžāĻāĻ˛ āĻāĻ¤āĻŋāĻŽāĻ§ā§āĻ¯ā§āĻ āĻŦāĻŋāĻĻā§āĻ¯āĻŽāĻžāĻ¨ āĻĨāĻžāĻā§, āĻ¤āĻžāĻšāĻ˛ā§ āĻāĻžāĻ°ā§āĻ˛ āĻĒā§āĻ°ā§āĻā§āĻ°āĻžāĻŽ āĻ¸āĻžāĻ§āĻžāĻ°āĻŖāĻ¤ āĻāĻāĻāĻŋ āĻāĻāĻžāĻ°āĻ°āĻžāĻāĻ āĻāĻ°āĻ¤ā§ āĻ āĻ¸ā§āĻŦā§āĻāĻžāĻ° āĻāĻ°ā§, āĻāĻŋāĻ¨ā§āĻ¤ā§ "-i" āĻŦāĻŋāĻāĻ˛ā§āĻĒāĻāĻŋ āĻāĻĒāĻ¸ā§āĻĨāĻŋāĻ¤ āĻĨāĻžāĻāĻ˛ā§, āĻā§āĻ āĻ˛āĻāĻŋāĻāĻāĻŋ āĻā§āĻā§ āĻ¯āĻžāĻ¯āĻŧ āĻāĻŦāĻ āĻĢāĻžāĻāĻ˛āĻāĻŋ āĻāĻāĻžāĻ°āĻ°āĻžāĻāĻ āĻāĻ°āĻž āĻšāĻ¯āĻŧ (āĻĒāĻ°ā§āĻ¯āĻžāĻ¯āĻŧā§ āĻā§āĻ āĻāĻ°āĻž āĻšāĻ¯āĻŧ āĻ°ā§āĻ¸āĻĒāĻ¨ā§āĻ¸ āĻŦāĻĄāĻŋ āĻĒā§āĻ°āĻžāĻĒā§āĻ¤āĻŋāĻ° āĻā§āĻˇā§āĻ¤ā§āĻ°ā§, āĻāĻŋāĻ¨ā§āĻ¤ā§ â-iâ āĻŦāĻŋāĻāĻ˛ā§āĻĒā§āĻ° āĻ¸āĻžāĻĨā§ HTTP āĻšā§āĻĄāĻžāĻ°āĻā§āĻ˛āĻŋ āĻĒā§āĻ°āĻĨāĻŽā§ āĻĒā§āĻ°āĻĻāĻ°ā§āĻļāĻŋāĻ¤ āĻšāĻ¯āĻŧ āĻāĻŦāĻ āĻ°ā§āĻ¸āĻĒāĻ¨ā§āĻ¸ āĻŦāĻĄāĻŋ āĻĒā§āĻ°āĻ¸ā§āĻ¸ āĻāĻ°āĻž āĻļā§āĻ°ā§ āĻšāĻāĻ¯āĻŧāĻžāĻ° āĻāĻā§ āĻ¸ā§āĻ āĻāĻ°āĻžāĻ° āĻ¸āĻŽāĻ¯āĻŧ āĻĨāĻžāĻā§)āĨ¤ āĻļā§āĻ§ā§āĻŽāĻžāĻ¤ā§āĻ° HTTP āĻļāĻŋāĻ°ā§āĻ¨āĻžāĻŽāĻā§āĻ˛āĻŋ āĻĢāĻžāĻāĻ˛āĻāĻŋāĻ¤ā§ āĻ˛ā§āĻāĻž āĻšāĻ¯āĻŧ, āĻ¤āĻŦā§ āĻ¸āĻžāĻ°ā§āĻāĻžāĻ° āĻšā§āĻĄāĻžāĻ°ā§āĻ° āĻĒāĻ°āĻŋāĻŦāĻ°ā§āĻ¤ā§ āĻ¨āĻŋāĻ°ā§āĻŦāĻŋāĻāĻžāĻ°ā§ āĻĄā§āĻāĻž āĻĒāĻžāĻ āĻžāĻ¤ā§ āĻĒāĻžāĻ°ā§ āĻāĻŦāĻ āĻ¸ā§āĻā§āĻ˛āĻŋ āĻ˛ā§āĻāĻž āĻšāĻŦā§āĨ¤ -
āĻā§āĻˇāĻ¤āĻŋāĻā§āĻ°āĻ¸ā§āĻĨāĻ¤āĻž āĻāĻ¨ā§āĻ¯ CVE-2020-8169 āĻāĻŋāĻā§ āĻ¸āĻžāĻāĻ āĻ ā§āĻ¯āĻžāĻā§āĻ¸ā§āĻ¸ āĻĒāĻžāĻ¸āĻāĻ¯āĻŧāĻžāĻ°ā§āĻĄā§āĻ° āĻĄāĻŋāĻāĻ¨āĻāĻ¸ āĻ¸āĻžāĻ°ā§āĻāĻžāĻ°ā§ āĻĢāĻžāĻāĻ¸ āĻšāĻ¤ā§ āĻĒāĻžāĻ°ā§ (āĻŦā§āĻ¸āĻŋāĻ, āĻĄāĻžāĻāĻā§āĻ¸ā§āĻ, NTLM, āĻāĻ¤ā§āĻ¯āĻžāĻĻāĻŋ)āĨ¤ āĻĒāĻžāĻ¸āĻāĻ¯āĻŧāĻžāĻ°ā§āĻĄā§ "@" āĻāĻŋāĻšā§āĻ¨ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°ā§, āĻ¯āĻž URL-āĻ āĻĒāĻžāĻ¸āĻāĻ¯āĻŧāĻžāĻ°ā§āĻĄ āĻŦāĻŋāĻāĻžāĻāĻ āĻšāĻŋāĻ¸āĻžāĻŦā§āĻ āĻŦā§āĻ¯āĻŦāĻšā§āĻ¤ āĻšāĻ¯āĻŧ, āĻ¯āĻāĻ¨ āĻāĻāĻāĻŋ HTTP āĻĒā§āĻ¨āĻāĻ¨āĻŋāĻ°ā§āĻĻā§āĻļ āĻā§āĻ°āĻŋāĻāĻžāĻ° āĻāĻ°āĻž āĻšāĻ¯āĻŧ, āĻ¤āĻāĻ¨ curl āĻĄā§āĻŽā§āĻ¨ā§āĻ° āĻ¸āĻžāĻĨā§ "@" āĻāĻŋāĻšā§āĻ¨ā§āĻ° āĻĒāĻ°ā§ āĻĒāĻžāĻ¸āĻāĻ¯āĻŧāĻžāĻ°ā§āĻĄā§āĻ° āĻ āĻāĻļāĻāĻŋ āĻ¸āĻŽāĻžāĻ§āĻžāĻ¨ āĻāĻ°āĻ¤ā§ āĻĒāĻžāĻ āĻžāĻŦā§āĨ¤ āĻ¨āĻžāĻŽ. āĻāĻĻāĻžāĻšāĻ°āĻŖāĻ¸ā§āĻŦāĻ°ā§āĻĒ, āĻāĻĒāĻ¨āĻŋ āĻ¯āĻĻāĻŋ āĻĒāĻžāĻ¸āĻāĻ¯āĻŧāĻžāĻ°ā§āĻĄ "passw@rd123" āĻāĻŦāĻ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻāĻžāĻ°ā§āĻ° āĻ¨āĻžāĻŽ "dan" āĻĒā§āĻ°āĻĻāĻžāĻ¨ āĻāĻ°ā§āĻ¨, āĻ¤āĻžāĻšāĻ˛ā§ curl "https://dan:passw@" URL āĻ¤ā§āĻ°āĻŋ āĻāĻ°āĻŦā§[āĻāĻŽā§āĻ˛ āĻ¸ā§āĻ°āĻā§āĻˇāĻŋāĻ¤]"https://dan:passw%" āĻāĻ° āĻĒāĻ°āĻŋāĻŦāĻ°ā§āĻ¤ā§ /path"[āĻāĻŽā§āĻ˛ āĻ¸ā§āĻ°āĻā§āĻˇāĻŋāĻ¤]/path" āĻāĻŦāĻ āĻšā§āĻ¸ā§āĻ āĻ¸āĻŽāĻžāĻ§āĻžāĻ¨ āĻāĻ°āĻžāĻ° āĻāĻ¨ā§āĻ¯ āĻāĻāĻāĻŋ āĻ āĻ¨ā§āĻ°ā§āĻ§ āĻĒāĻžāĻ āĻžāĻŦā§ "[āĻāĻŽā§āĻ˛ āĻ¸ā§āĻ°āĻā§āĻˇāĻŋāĻ¤]"example.com" āĻāĻ° āĻĒāĻ°āĻŋāĻŦāĻ°ā§āĻ¤ā§āĨ¤āĻ¯āĻāĻ¨ āĻāĻĒā§āĻā§āĻˇāĻŋāĻ HTTP āĻĒā§āĻ¨āĻāĻ¨āĻŋāĻ°ā§āĻĻā§āĻļāĻāĻā§āĻ˛āĻŋāĻ° āĻāĻ¨ā§āĻ¯ āĻ¸āĻŽāĻ°ā§āĻĨāĻ¨ āĻ¸āĻā§āĻˇāĻŽ āĻāĻ°āĻž āĻšāĻ¯āĻŧ (CURLOPT_FOLLOWLOCATION āĻāĻ° āĻŽāĻžāĻ§ā§āĻ¯āĻŽā§ āĻ āĻā§āĻˇāĻŽ āĻāĻ°āĻž āĻšāĻ¯āĻŧ) āĻ¤āĻāĻ¨ āĻ¸āĻŽāĻ¸ā§āĻ¯āĻžāĻāĻŋ āĻĻā§āĻāĻž āĻĻā§āĻ¯āĻŧā§ˇ āĻ¯āĻĻāĻŋ āĻĒā§āĻ°āĻĨāĻžāĻāĻ¤ DNS āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°āĻž āĻšāĻ¯āĻŧ, āĻĒāĻžāĻ¸āĻāĻ¯āĻŧāĻžāĻ°ā§āĻĄā§āĻ° āĻ āĻāĻļ āĻ¸āĻŽā§āĻĒāĻ°ā§āĻā§ āĻ¤āĻĨā§āĻ¯ DNS āĻĒā§āĻ°āĻĻāĻžāĻ¨āĻāĻžāĻ°ā§āĻ° āĻĻā§āĻŦāĻžāĻ°āĻž āĻāĻŦāĻ āĻāĻāĻāĻ¨ āĻāĻā§āĻ°āĻŽāĻŖāĻāĻžāĻ°ā§āĻ° āĻĻā§āĻŦāĻžāĻ°āĻž āĻĒā§āĻ°āĻžāĻĒā§āĻ¤ āĻāĻ°āĻž āĻ¯ā§āĻ¤ā§ āĻĒāĻžāĻ°ā§ āĻ¯āĻžāĻ° āĻā§āĻ°āĻžāĻ¨āĻāĻŋāĻ āĻ¨ā§āĻāĻāĻ¯āĻŧāĻžāĻ°ā§āĻ āĻā§āĻ°ā§āĻ¯āĻžāĻĢāĻŋāĻ āĻŦāĻžāĻ§āĻž āĻĻā§āĻāĻ¯āĻŧāĻžāĻ° āĻā§āĻˇāĻŽāĻ¤āĻž āĻ°āĻ¯āĻŧā§āĻā§ (āĻāĻŽāĻ¨āĻāĻŋ āĻ¯āĻĻāĻŋ āĻāĻ¸āĻ˛ āĻ āĻ¨ā§āĻ°ā§āĻ§āĻāĻŋ HTTPS āĻāĻ° āĻŽāĻžāĻ§ā§āĻ¯āĻŽā§ āĻšāĻ¯āĻŧ, āĻ¯ā§āĻšā§āĻ¤ā§ DNS āĻā§āĻ°ā§āĻ¯āĻžāĻĢāĻŋāĻ āĻāĻ¨āĻā§āĻ°āĻŋāĻĒā§āĻ āĻāĻ°āĻž āĻšāĻ¯āĻŧāĻ¨āĻŋ)āĨ¤ āĻ¯āĻāĻ¨ DNS-over-HTTPS (DoH) āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°āĻž āĻšāĻ¯āĻŧ, āĻ¤āĻāĻ¨ āĻĢā§āĻā§āĻāĻŋ DoH āĻ āĻĒāĻžāĻ°ā§āĻāĻ°ā§āĻ° āĻŽāĻ§ā§āĻ¯ā§ āĻ¸ā§āĻŽāĻžāĻŦāĻĻā§āĻ§ āĻĨāĻžāĻā§āĨ¤
āĻāĻ¤ā§āĻ¸: opennet.ru