S'ha creat una actualització urgent del servidor http Apache 2.4.50, que elimina una vulnerabilitat de dia 0 ja explotada activament (CVE-2021-41773), que permet accedir als fitxers des d'àrees fora del directori arrel del lloc. Utilitzant la vulnerabilitat, és possible descarregar fitxers de sistema arbitraris i textos font dels scripts web, llegibles per l'usuari sota el qual s'executa el servidor http. Els desenvolupadors van rebre una notificació del problema el 17 de setembre, però només han pogut publicar l'actualització avui, després que es registressin a la xarxa casos de vulnerabilitat que s'utilitzava per atacar llocs web.
La mitigació del perill de la vulnerabilitat és que el problema només apareix a la versió 2.4.49 publicada recentment i no afecta totes les versions anteriors. Les branques estables de les distribucions de servidors conservadores encara no han utilitzat la versió 2.4.49 (Debian, RHEL, Ubuntu, SUSE), però el problema va afectar distribucions actualitzades contínuament com Fedora, Arch Linux i Gentoo, així com els ports de FreeBSD.
La vulnerabilitat es deu a un error introduït durant una reescriptura del codi per normalitzar camins en URI, a causa del qual un caràcter de punt codificat "%2e" en un camí no es normalitzaria si estigués precedit d'un altre punt. Així, va ser possible substituir caràcters "../" en brut a la ruta resultant especificant la seqüència ".%2e/" a la sol·licitud. Per exemple, una sol·licitud com "https://example.com/cgi-bin/.%2e/.%2e/.%2e/.%2e/etc/passwd" o "https://example.com/cgi -bin /.%2e/%2e%2e/%2e%2e/%2e%2e/etc/hosts" us va permetre obtenir el contingut del fitxer "/etc/passwd".
El problema no es produeix si es denega explícitament l'accés als directoris mitjançant la configuració "exigir que es deneguen tots". Per exemple, per a la protecció parcial, podeu especificar al fitxer de configuració: exigir que tot sigui denegat
Apache httpd 2.4.50 també soluciona una altra vulnerabilitat (CVE-2021-41524) que afecta un mòdul que implementa el protocol HTTP/2. La vulnerabilitat va permetre iniciar la desreferència del punter nul enviant una sol·licitud especialment dissenyada i fer que el procés es bloquegés. Aquesta vulnerabilitat també apareix només a la versió 2.4.49. Com a solució de seguretat, podeu desactivar la compatibilitat amb el protocol HTTP/2.
Font: opennet.ru