Napravljeno je hitno ažuriranje za Apache 2.4.50 http server, koje eliminiše već aktivno iskorišćenu ranjivost 0 dana (CVE-2021-41773), koja omogućava pristup datotekama iz oblasti izvan osnovnog direktorijuma sajta. Koristeći ranjivost, moguće je preuzeti proizvoljne sistemske datoteke i izvorne tekstove web skripti, koje može pročitati korisnik pod kojim je pokrenut http server. Programeri su obaviješteni o problemu 17. septembra, ali su uspjeli objaviti ažuriranje tek danas, nakon što su na mreži zabilježeni slučajevi korištenja ranjivosti za napad na web stranice.
Opasnost od ranjivosti ublažava to što se problem pojavljuje samo u nedavno objavljenoj verziji 2.4.49 i ne utiče na sva ranija izdanja. Stabilne grane konzervativnih serverskih distribucija još nisu koristile izdanje 2.4.49 (Debian, RHEL, Ubuntu, SUSE), ali problem je uticao na kontinuirano ažurirane distribucije kao što su Fedora, Arch Linux i Gentoo, kao i na portove FreeBSD-a.
Ranjivost je uzrokovana greškom uvedenom tokom ponovnog pisanja koda za normalizaciju staza u URI-ovima, zbog čega "%2e" kodirani znak tačke u putanji ne bi bio normalizovan ako bi mu prethodila druga tačka. Dakle, bilo je moguće zamijeniti neobrađene znakove “../” u rezultirajuću putanju specificiranjem sekvence “.%2e/” u zahtjevu. Na primjer, zahtjev poput "https://example.com/cgi-bin/.%2e/.%2e/.%2e/.%2e/etc/passwd" ili "https://example.com/cgi -bin /.%2e/%2e%2e/%2e%2e/%2e%2e/etc/hosts" vam omogućava da dobijete sadržaj datoteke "/etc/passwd".
Problem se ne pojavljuje ako je pristup direktorijima eksplicitno odbijen korištenjem postavke "zahtijevaj sve odbijeno". Na primjer, za djelomičnu zaštitu možete navesti u konfiguracijskoj datoteci: zahtijevaju sve odbijene
Apache httpd 2.4.50 takođe popravlja još jednu ranjivost (CVE-2021-41524) koja utiče na modul koji implementira HTTP/2 protokol. Ranjivost je omogućila pokretanje dereferenciranja nulte pokazivača slanjem posebno kreiranog zahtjeva i uzrokovalo rušenje procesa. Ova ranjivost se također pojavljuje samo u verziji 2.4.49. Kao sigurnosno rješenje, možete onemogućiti podršku za HTTP/2 protokol.
izvor: opennet.ru