Byla vytvořena naléhavá aktualizace http serveru Apache 2.4.50, která eliminuje již aktivně využívanou 0denní zranitelnost (CVE-2021-41773), která umožňuje přístup k souborům z oblastí mimo kořenový adresář webu. Pomocí zranitelnosti je možné stahovat libovolné systémové soubory a zdrojové texty webových skriptů, čitelné pro uživatele, pod kterým http server běží. Vývojáři byli na problém upozorněni 17. září, ale aktualizaci mohli vydat až dnes, poté, co byly v síti zaznamenány případy zneužití zranitelnosti k útokům na webové stránky.
Zmírnění nebezpečí této chyby zabezpečení spočívá v tom, že problém se objevuje pouze v nedávno vydané verzi 2.4.49 a neovlivňuje všechna dřívější vydání. Stabilní větve konzervativních serverových distribucí dosud nepoužívaly vydání 2.4.49 (Debian, RHEL, Ubuntu, SUSE), ale problém se týkal průběžně aktualizovaných distribucí jako Fedora, Arch Linux a Gentoo a také portů FreeBSD.
Chyba zabezpečení je způsobena chybou zavedenou během přepisování kódu pro normalizaci cest v identifikátorech URI, kvůli které by znak „%2e“ zakódovaný v cestě nebyl normalizován, pokud by mu předcházela jiná tečka. Do výsledné cesty tak bylo možné dosadit nezpracované znaky „../“ zadáním sekvence „.%2e/“ v požadavku. Například požadavek jako „https://example.com/cgi-bin/.%2e/.%2e/.%2e/.%2e/etc/passwd“ nebo „https://example.com/cgi -bin /.%2e/%2e%2e/%2e%2e/%2e%2e/etc/hosts" vám umožnil získat obsah souboru "/etc/passwd".
Problém nenastane, pokud je přístup k adresářům výslovně odepřen pomocí nastavení „vyžadovat vše odepřeno“. Například pro částečnou ochranu můžete v konfiguračním souboru zadat: požadovat vše odepřeno
Apache httpd 2.4.50 také opravuje další zranitelnost (CVE-2021-41524) ovlivňující modul implementující protokol HTTP/2. Tato chyba zabezpečení umožnila zahájit dereferenci nulového ukazatele odesláním speciálně vytvořeného požadavku a způsobit selhání procesu. Tato chyba zabezpečení se také objevuje pouze ve verzi 2.4.49. Jako řešení zabezpečení můžete zakázat podporu protokolu HTTP/2.
Zdroj: opennet.ru