En presserende opdatering til Apache 2.4.50 http-serveren er blevet oprettet, som eliminerer en allerede aktivt udnyttet 0-dages sårbarhed (CVE-2021-41773), som giver adgang til filer fra områder uden for webstedets rodmappe. Ved at bruge sårbarheden er det muligt at downloade vilkårlige systemfiler og kildetekster til webscripts, som kan læses af den bruger, som http-serveren kører under. Udviklerne blev underrettet om problemet den 17. september, men kunne først frigive opdateringen i dag, efter at tilfælde af sårbarheden, der blev brugt til at angribe websteder, blev registreret på netværket.
For at afbøde faren for sårbarheden er, at problemet kun optræder i den nyligt udgivne version 2.4.49 og ikke påvirker alle tidligere udgivelser. De stabile grene af konservative serverdistributioner har endnu ikke brugt 2.4.49-udgivelsen (Debian, RHEL, Ubuntu, SUSE), men problemet påvirkede løbende opdaterede distributioner såsom Fedora, Arch Linux og Gentoo, såvel som porte af FreeBSD.
Sårbarheden skyldes en fejl introduceret under en omskrivning af koden til normalisering af stier i URI'er, på grund af hvilken et "%2e"-kodet priktegn i en sti ikke ville blive normaliseret, hvis det blev indledt af en anden prik. Det var således muligt at erstatte rå "../"-tegn i den resulterende sti ved at angive sekvensen ".%2e/" i anmodningen. For eksempel en anmodning som "https://example.com/cgi-bin/.%2e/.%2e/.%2e/.%2e/etc/passwd" eller "https://example.com/cgi -bin /.%2e/%2e%2e/%2e%2e/%2e%2e/etc/hosts" gav dig mulighed for at hente indholdet af filen "/etc/passwd".
Problemet opstår ikke, hvis adgang til mapper udtrykkeligt nægtes ved hjælp af indstillingen "kræver alle nægtet". For eksempel kan du for delvis beskyttelse angive i konfigurationsfilen: kræver alle nægtet
Apache httpd 2.4.50 løser også en anden sårbarhed (CVE-2021-41524), der påvirker et modul, der implementerer HTTP/2-protokollen. Sårbarheden gjorde det muligt at starte nul pointer-dereference ved at sende en specielt udformet anmodning og få processen til at gå ned. Denne sårbarhed vises også kun i version 2.4.49. Som en sikkerhedsløsning kan du deaktivere understøttelse af HTTP/2-protokollen.
Kilde: opennet.ru