Sa http server (nhttpd) pagkahuyang
(CVE-2019-16278), nga nagtugot sa usa ka tig-atake sa layo nga pagpatuman sa code sa server pinaagi sa pagpadala sa usa ka espesyal nga gihimo nga HTTP nga hangyo. Ang isyu masulbad sa pagpagawas (wala pa gimantala). Sa paghukom sa impormasyon gikan sa Shodan search engine, ang Nostromo http server gigamit sa gibana-bana nga 2000 ka publiko nga accessible hosts.
Ang pagkahuyang tungod sa usa ka sayup sa http_verify function, nga walaβy access sa mga sulud sa file system sa gawas sa direktoryo sa gamut sa site pinaagi sa pagpasa sa han-ay nga ".%0d./" sa agianan. Ang pagkahuyang mahitabo tungod kay ang usa ka pagsusi alang sa presensya sa "../" nga mga karakter gihimo sa wala pa ipatuman ang function sa pag-normalize sa agianan, diin ang mga karakter sa bag-ong linya (%0d) gikuha gikan sa hilo.
Sa pagkahuyang, mahimo nimong ma-access ang /bin/sh imbes nga usa ka script sa CGI ug ipatuman ang bisan unsang paghimo sa kabhang pinaagi sa pagpadala usa ka hangyo sa POST sa URI "/.%0d./.%0d./.%0d./.%0d./bin /sh" ug pagpasa sa mga sugo sa lawas sa hangyo. Makaiikag, sa 2011, usa ka susama nga kahuyang (CVE-2011-0751) naayo na sa Nostromo, nga nagtugot sa pag-atake pinaagi sa pagpadala sa hangyo "/..%2f..%2f..%2fbin/sh".
Source: opennet.ru