Un novu vettore d'attaccu hè statu trovu per u servitore http Apache, chì ùn hè micca currettu in l'aghjurnamentu 2.4.50 è permette l'accessu à i schedari da e zoni fora di u repertoriu radicali di u situ. Inoltre, i circadori anu truvatu un metudu chì permette, in presenza di certi paràmetri non standard, micca solu per leghje i schedarii di u sistema, ma ancu per eseguisce remotamente u so codice in u servitore. U prublema si prisenta solu in i versioni 2.4.49 è 2.4.50; e versioni precedenti ùn sò micca affettati. Per eliminà a nova vulnerabilità, Apache httpd 2.4.51 hè stata liberata rapidamente.
U novu prublema (CVE-2021-42013) hè essenzialmente identicu à a vulnerabilità originale (CVE-2021-41773) in 2.4.49, l'unica differenza essendu a diversa codifica di i caratteri ".." In particulare, a versione 2.4.50 hà bluccatu a capacità di utilizà a sequenza "%2e" per codificà un puntu, ma hà mancatu a capacità di codificà lu duie volte quandu si specificava a sequenza "%%32%65". servitore l'hà decodificatu cum'è "%2e" è dopu cum'è ".", vale à dì chì i caratteri "../" per andà à u cartulare precedente puderanu esse codificati cum'è ".%%32%65/".
In quantu à sfruttà a vulnerabilità per l'esekzione di codice, questu hè pussibule quandu u mod_cgi hè attivatu è u percorsu di basa hè utilizatu in quale l'esekzione di script CGI hè permessa (per esempiu, se a direttiva ScriptAlias hè attivata o a bandiera ExecCGI hè specificata in u direttiva Opzioni). Un requisitu ubligatoriu per un attaccu successu hè ancu di furnisce esplicitamente l'accessu à i cartulari cù i fugliali eseguibili, cum'è / bin, o l'accessu à a radica di u sistema di fugliale "/" in i paràmetri Apache. Siccomu tali accessu ùn hè micca generalmente cuncessu, l'attacchi di esecuzione di codice anu poca applicazione à i sistemi reali.
À u listessu tempu, l'attaccu per ottene u cuntenutu di i schedarii di u sistema arbitrariu è i testi fonti di scripts web, leghjite da l'utilizatori sottu chì u servitore http hè in esecuzione, ferma pertinenti. Per fà un tali attaccu, hè abbastanza per avè un annuariu in u situ cunfiguratu cù e direttive "Alias" o "ScriptAlias" (DocumentRoot ùn hè micca abbastanza), cum'è "cgi-bin".
Un esempiu di un exploit chì vi permette di eseguisce l'utilità "id" nantu à servitore: curl 'http://192.168.0.1/cgi-bin/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/bin/sh' —data 'echo Tipu di cuntenutu: text/plain; echo; id' uid=1(daemon) gid=1(daemon) gruppi=1(daemon)
Un esempiu di sfruttamenti chì permette di vede u cuntenutu di /etc/passwd è unu di i scripts web (per fà u codice di script, u repertoriu definitu per mezu di a direttiva "Alias", per quale l'esekzione di script ùn hè micca attivata, deve esse specificata). cum'è u cartulare di basa): curl 'http://192.168.0.1 .32/cgi-bin/.%%65%32/.%%65%32/.%%65%32/.%%65%32/.% %65%192.168.0.1/etc/passwd' curl 'http: //32/aliaseddir/.%%65%32/.%%65%32/.%%65%32/.%%65%32/. %%65%2/usr/local/apacheXNUMX/cgi -bin/test.cgi'
U prublema affetta soprattuttu e distribuzioni aghjurnate continuamente cum'è Fedora, Arch Linux è Gentoo, è ancu i porti FreeBSD. Pacchetti in i rami stabili di distribuzioni di server cunservative Debian, RHEL, Ubuntu è SUSE ùn sò micca vulnerabili. U prublema ùn si verifica micca s'è l'accessu à i cartulari hè esplicitamente rifiutatu cù l'impostazione "richiede tutti i rifiutati".
Source: opennet.ru
