Usa ka dinalian nga pag-update sa Apache 2.4.50 http server ang nahimo, nga nagtangtang sa usa ka aktibo nga gipahimuslan nga 0-adlaw nga kahuyang (CVE-2021-41773), nga nagtugot sa pag-access sa mga file gikan sa mga lugar sa gawas sa direktoryo sa gamut sa site. Gamit ang pagkahuyang, posible nga mag-download sa arbitraryong mga file sa sistema ug gigikanan nga mga teksto sa mga script sa web, nga mabasa sa tiggamit nga gipadagan sa http server. Ang mga developers gipahibalo sa problema sa Septiyembre 17, apan nakahimo sa pagpagawas sa update lamang karon, human sa mga kaso sa kahuyang nga gigamit sa pag-atake sa mga website nga natala sa network.
Ang pagpamenos sa kapeligrohan sa pagkahuyang mao nga ang problema makita lamang sa bag-o lang nga gipagawas nga bersyon 2.4.49 ug dili makaapekto sa tanang naunang pagpagawas. Ang mga lig-on nga sanga sa konserbatibo nga pag-apod-apod sa server wala pa magamit ang 2.4.49 nga pagpagawas (Debian, RHEL, Ubuntu, SUSE), apan ang problema nakaapekto sa padayon nga gi-update nga mga distribusyon sama sa Fedora, Arch Linux ug Gentoo, ingon man mga pantalan sa FreeBSD.
Ang pagkahuyang tungod sa usa ka bug nga gipaila sa panahon sa pagsulat pag-usab sa code alang sa pag-normalize sa mga agianan sa mga URI, tungod niini ang usa ka "%2e" nga gi-encode nga tuldok nga karakter sa usa ka agianan dili ma-normalize kung kini giunhan sa laing tulbok. Busa, posible nga ilisan ang hilaw nga "../" nga mga karakter sa resulta nga agianan pinaagi sa pagtino sa han-ay ".%2e/" sa hangyo. Pananglitan, usa ka hangyo sama sa "https://example.com/cgi-bin/.%2e/.%2e/.%2e/.%2e/etc/passwd" o "https://example.com/cgi -bin /.%2e/%2e%2e/%2e%2e/%2e%2e/etc/hosts" nagtugot kanimo sa pagkuha sa sulod sa file "/etc/passwd".
Ang problema dili mahitabo kung ang pag-access sa mga direktoryo klaro nga gibalibaran gamit ang setting nga "gikinahanglan ang tanan nga gibalibaran". Pananglitan, alang sa partial nga proteksyon mahimo nimong itakda sa configuration file: nanginahanglan nga isalikway ang tanan
Ang Apache httpd 2.4.50 nag-ayo usab sa laing kahuyangan (CVE-2021-41524) nga nakaapekto sa usa ka module nga nagpatuman sa HTTP/2 protocol. Ang pagkahuyang nagpaposible sa pagsugod sa null pointer dereference pinaagi sa pagpadala sa usa ka espesyal nga gihimo nga hangyo ug hinungdan sa proseso sa pagkahagsa. Kini nga pagkahuyang makita usab sa bersyon 2.4.49. Isip usa ka solusyon sa seguridad, mahimo nimong i-disable ang suporta alang sa HTTP/2 protocol.
Source: opennet.ru