Un novu vettore d'attaccu hè statu trovu per u servitore http Apache, chì ùn hè micca currettu in l'aghjurnamentu 2.4.50 è permette l'accessu à i schedari da e zoni fora di u repertoriu radicali di u situ. Inoltre, i circadori anu truvatu un metudu chì permette, in presenza di certi paràmetri non standard, micca solu per leghje i schedarii di u sistema, ma ancu per eseguisce remotamente u so codice in u servitore. U prublema si prisenta solu in i versioni 2.4.49 è 2.4.50; e versioni precedenti ùn sò micca affettati. Per eliminà a nova vulnerabilità, Apache httpd 2.4.51 hè stata liberata rapidamente.
À u so core, u novu prublema (CVE-2021-42013) hè cumplettamente simili à a vulnerabilità originale (CVE-2021-41773) in 2.4.49, l'unica diferenza hè una codificazione differente di i caratteri "...". In particulare, in a versione 2.4.50, a capacità di utilizà a sequenza "% 2e" per codificà un puntu hè stata bluccata, ma a pussibilità di doppia codificazione hè stata persa - quandu si specifica a sequenza "%% 32% 65", u servitore l'ha decodificata. in "%2e" è dopu in ".", i.e. i caratteri "../" per andà in u cartulare precedente puderanu esse codificati cum'è ".%%32%65/".
In quantu à sfruttà a vulnerabilità per l'esekzione di codice, questu hè pussibule quandu u mod_cgi hè attivatu è u percorsu di basa hè utilizatu in quale l'esekzione di script CGI hè permessa (per esempiu, se a direttiva ScriptAlias hè attivata o a bandiera ExecCGI hè specificata in u direttiva Opzioni). Un requisitu ubligatoriu per un attaccu successu hè ancu di furnisce esplicitamente l'accessu à i cartulari cù i fugliali eseguibili, cum'è / bin, o l'accessu à a radica di u sistema di fugliale "/" in i paràmetri Apache. Siccomu tali accessu ùn hè micca generalmente cuncessu, l'attacchi di esecuzione di codice anu poca applicazione à i sistemi reali.
À u listessu tempu, l'attaccu per ottene u cuntenutu di i schedarii di u sistema arbitrariu è i testi fonti di scripts web, leghjite da l'utilizatori sottu chì u servitore http hè in esecuzione, ferma pertinenti. Per fà un tali attaccu, hè abbastanza per avè un annuariu in u situ cunfiguratu cù e direttive "Alias" o "ScriptAlias" (DocumentRoot ùn hè micca abbastanza), cum'è "cgi-bin".
Un esempiu di sfruttamentu chì permette di eseguisce l'utilità "id" in u servitore: curl 'http://192.168.0.1/cgi-bin/.%%32%65/.%%32%65/.%% 32%65/.%% 32%65/.%%32%65/bin/sh' -data 'echo Content-Type: testu/plain; ecu; id' uid = 1 (daemon) gid = 1 (daemon) gruppi = 1 (daemon)
Un esempiu di sfruttamenti chì permette di vede u cuntenutu di /etc/passwd è unu di i scripts web (per fà u codice di script, u repertoriu definitu per mezu di a direttiva "Alias", per quale l'esekzione di script ùn hè micca attivata, deve esse specificata). cum'è u cartulare di basa): curl 'http://192.168.0.1 .32/cgi-bin/.%%65%32/.%%65%32/.%%65%32/.%%65%32/.% %65%192.168.0.1/etc/passwd' curl 'http: //32/aliaseddir/.%%65%32/.%%65%32/.%%65%32/.%%65%32/. %%65%2/usr/local/apacheXNUMX/cgi -bin/test.cgi'
U prublema affetta principalmente distribuzioni aghjurnate continuamente cum'è Fedora, Arch Linux è Gentoo, è ancu i porti di FreeBSD. I pacchetti in i rami stabili di e distribuzioni di servitori conservatori Debian, RHEL, Ubuntu è SUSE ùn sò micca affettati da a vulnerabilità. U prublema ùn accade micca se l'accessu à i cartulari hè esplicitamente denegatu utilizendu l'impostazione "esigene tutti i denied".
Source: opennet.ru