Hè stata creata una aghjurnazione urgente à u servitore http Apache 2.4.50, chì elimina una vulnerabilità di 0-day digià sfruttata attivamente (CVE-2021-41773), chì permette l'accessu à i schedari da e zoni fora di u repertoriu radicali di u situ. Utilizendu a vulnerabilità, hè pussibule di scaricà i schedarii di u sistema arbitrariu è i testi fonte di scripts web, leghjite da l'utilizatore sottu quale u servitore http hè in esecuzione. I sviluppatori sò stati avvisati di u prublema u 17 di settembre, ma anu pussutu liberà l'aghjurnamentu solu oghje, dopu chì i casi di a vulnerabilità utilizata per attaccà i siti web sò stati registrati in a reta.
A mitigazione di u periculu di a vulnerabilità hè chì u prublema si prisenta solu in a versione 2.4.49 recentemente liberata è ùn afecta micca tutte e versioni precedenti. I rami stabili di distribuzioni di servitori cunservatori ùn anu micca ancu utilizatu a versione 2.4.49 (Debian, RHEL, Ubuntu, SUSE), ma u prublema hà affettatu distribuzioni continuamente aghjurnati cum'è Fedora, Arch Linux è Gentoo, è ancu i porti di FreeBSD.
A vulnerabilità hè duvuta à un bug introduttu durante una riscrittura di u codice per a normalizazione di i percorsi in l'URI, per via di quale un caratteru di puntu codificatu "% 2e" in una strada ùn saria micca normalizatu s'ellu era precedutu da un altru puntu. Cusì, era pussibule di rimpiazzà i caratteri "../" crudi in u percorsu risultatu specificendu a sequenza ".%2e/" in a dumanda. Per esempiu, una dumanda cum'è "https://example.com/cgi-bin/.%2e/.%2e/.%2e/.%2e/etc/passwd" o "https://example.com/cgi -bin /.%2e/%2e%2e/%2e%2e/%2e%2e/etc/hosts" permette di ottene u cuntenutu di u schedariu "/etc/passwd".
U prublema ùn accade micca se l'accessu à i cartulari hè esplicitamente denegatu utilizendu l'impostazione "esigene tutti i denied". Per esempiu, per a prutezzione parziale pudete specificà in u schedariu di cunfigurazione: esige tutti i negati
Apache httpd 2.4.50 risolve ancu una altra vulnerabilità (CVE-2021-41524) chì affetta un modulu chì implementa u protocolu HTTP/2. A vulnerabilità hà permessu di inizià a deferenza di puntatore nulu mandendu una dumanda apposta è pruvucà u prucessu di crash. Sta vulnerabilità appare ancu solu in a versione 2.4.49. Cum'è una soluzione di sicurezza, pudete disattivà u supportu per u protocolu HTTP / 2.
Source: opennet.ru