Usa ka bag-ong attack vector ang nakit-an para sa Apache http server, nga nagpabilin nga wala matul-id sa update 2.4.50 ug nagtugot sa access sa mga file gikan sa mga lugar gawas sa root directory sa site. Dugang pa, ang mga tigdukiduki nakakaplag usa ka pamaagi nga nagtugot, sa presensya sa pipila nga dili standard nga mga setting, dili lamang sa pagbasa sa mga file sa sistema, apan usab sa layo nga pagpatuman sa ilang code sa server. Ang problema makita lamang sa mga pagpagawas sa 2.4.49 ug 2.4.50; ang mga naunang bersyon wala maapektuhan. Aron mawagtang ang bag-ong kahuyang, ang Apache httpd 2.4.51 dali nga gipagawas.
Sa kinauyokan niini, ang bag-ong problema (CVE-2021-42013) hingpit nga susama sa orihinal nga pagkahuyang (CVE-2021-41773) sa 2.4.49, ang bugtong kalainan mao ang lahi nga pag-encode sa ".." nga mga karakter. Sa partikular, sa pagpagawas sa 2.4.50 ang abilidad sa paggamit sa han-ay nga "%2e" sa pag-encode sa usa ka punto gibabagan, apan ang posibilidad sa dobleng pag-encode kay wala - sa dihang gipiho ang han-ay nga "%%32%65", gi-decode kini sa server ngadto sa "%2e" ug dayon ngadto sa " .", i.e. ang "../" nga mga karakter nga moadto sa miaging direktoryo mahimong ma-encode nga ".%%32%65/".
Mahitungod sa pagpahimulos sa kahuyang pinaagi sa pagpatuman sa code, kini posible kung ang mod_cgi ma-enable ug ang base nga agianan gigamit diin ang pagpatuman sa CGI scripts gitugotan (pananglitan, kung ang ScriptAlias direktiba gipagana o ang ExecCGI nga bandila gipiho sa Mga kapilian nga direktiba). Ang usa ka mandatory nga kinahanglanon alang sa usa ka malampuson nga pag-atake mao usab ang dayag nga paghatag og access sa mga direktoryo nga adunay mga executable nga mga file, sama sa /bin, o pag-access sa file system root "/" sa mga setting sa Apache. Tungod kay ang ingon nga pag-access dili kasagaran nga gihatag, ang mga pag-atake sa pagpatuman sa code adunay gamay nga aplikasyon sa tinuod nga mga sistema.
Sa parehas nga oras, ang pag-atake aron makuha ang sulud sa mga arbitraryong file sa sistema ug gigikanan nga mga teksto sa mga script sa web, nga mabasa sa tiggamit kung diin nagdagan ang http server, nagpabilin nga may kalabotan. Aron mahimo ang ingon nga pag-atake, igo na nga adunay usa ka direktoryo sa site nga na-configure gamit ang "Alias" o "ScriptAlias" nga mga direktiba (DocumentRoot dili igo), sama sa "cgi-bin".
Usa ka pananglitan sa usa ka pagpahimulos nga nagtugot kanimo sa pag-execute sa “id” utility sa server: curl 'http://192.168.0.1/cgi-bin/.%%32%65/.%%32%65/.%% 32%65/.%% 32%65/.%%32%65/bin/sh' —data 'echo Content-Type: text/plain; lanog; id' uid=1(daemon) gid=1(daemon) groups=1(daemon)
Usa ka pananglitan sa mga pagpahimulos nga nagtugot kanimo sa pagpakita sa mga sulod sa /etc/passwd ug usa sa mga web script (aron ma-output ang script code, ang direktoryo nga gihubit pinaagi sa "Alias" nga direktiba, diin ang script execution dili mahimo, kinahanglan nga itakda isip base nga direktoryo): curl 'http://192.168.0.1 .32/cgi-bin/.%%65%32/.%%65%32/.%%65%32/.%%65%32/.% %65%192.168.0.1/etc/passwd' curl 'http: //32/aliaseddir/.%%65%32/.%%65%32/.%%65%32/.%%65%32/. %%65%2/usr/local/apacheXNUMX/cgi -bin/test.cgi'
Ang problema nag-una nga nakaapekto sa padayon nga gi-update nga mga distribusyon sama sa Fedora, Arch Linux ug Gentoo, ingon man mga pantalan sa FreeBSD. Ang mga pakete sa mga lig-on nga sanga sa konserbatibo nga pag-apod-apod sa server nga Debian, RHEL, Ubuntu ug SUSE wala maapektuhan sa pagkahuyang. Ang problema dili mahitabo kung ang pag-access sa mga direktoryo klaro nga gibalibaran gamit ang setting nga "gikinahanglan ang tanan nga gibalibaran".
Source: opennet.ru