Es wurde ein dringendes Update für den Apache 2.4.50-HTTP-Server erstellt, das eine bereits aktiv ausgenutzte 0-Day-Schwachstelle (CVE-2021-41773) beseitigt, die den Zugriff auf Dateien aus Bereichen außerhalb des Stammverzeichnisses der Site ermöglicht. Mithilfe der Schwachstelle ist es möglich, beliebige Systemdateien und Quelltexte von Webskripten herunterzuladen, die für den Benutzer lesbar sind, unter dem der http-Server läuft. Die Entwickler wurden am 17. September über das Problem informiert, konnten das Update jedoch erst heute veröffentlichen, nachdem im Netzwerk Fälle registriert wurden, in denen die Schwachstelle zum Angriff auf Websites genutzt wurde.
Die Gefahr der Sicherheitslücke wird dadurch gemindert, dass das Problem nur in der kürzlich veröffentlichten Version 2.4.49 auftritt und nicht alle früheren Versionen betrifft. Die stabilen Zweige konservativer Server-Distributionen haben die Version 2.4.49 noch nicht verwendet (Debian, RHEL, Ubuntu, SUSE), aber das Problem betraf kontinuierlich aktualisierte Distributionen wie Fedora, Arch Linux und Gentoo sowie Ports von FreeBSD.
Die Sicherheitslücke ist auf einen Fehler zurückzuführen, der während einer Neufassung des Codes zur Normalisierung von Pfaden in URIs aufgetreten ist und dazu geführt hat, dass ein mit „%2e“ codiertes Punktzeichen in einem Pfad nicht normalisiert würde, wenn ihm ein anderer Punkt vorangestellt wäre. Somit war es möglich, rohe „../“-Zeichen im resultierenden Pfad zu ersetzen, indem die Sequenz „.%2e/“ in der Anfrage angegeben wurde. Zum Beispiel eine Anfrage wie „https://example.com/cgi-bin/.%2e/.%2e/.%2e/.%2e/etc/passwd“ oder „https://example.com/cgi -bin /.%2e/%2e%2e/%2e%2e/%2e%2e/etc/hosts“ ermöglichte es Ihnen, den Inhalt der Datei „/etc/passwd“ abzurufen.
Das Problem tritt nicht auf, wenn der Zugriff auf Verzeichnisse mithilfe der Einstellung „Alles verweigern erforderlich“ explizit verweigert wird. Für einen teilweisen Schutz können Sie beispielsweise in der Konfigurationsdatei Folgendes angeben: erfordern alles abgelehnt
Apache httpd 2.4.50 behebt außerdem eine weitere Schwachstelle (CVE-2021-41524), die ein Modul betrifft, das das HTTP/2-Protokoll implementiert. Die Sicherheitslücke ermöglichte es, durch Senden einer speziell gestalteten Anfrage eine Nullzeiger-Dereferenzierung einzuleiten und den Prozess zum Absturz zu bringen. Auch diese Schwachstelle tritt nur in Version 2.4.49 auf. Um die Sicherheit zu umgehen, können Sie die Unterstützung für das HTTP/2-Protokoll deaktivieren.
Source: opennet.ru