Auf dem http-Server (nhttpd) Verwundbarkeit
(CVE-2019-16278), die es einem Angreifer ermöglicht, Code aus der Ferne auf dem Server auszuführen, indem er eine speziell gestaltete HTTP-Anfrage sendet. Das Problem wird in der Veröffentlichung behoben (noch nicht veröffentlicht). Nach Angaben der Suchmaschine Shodan wird der Nostromo-http-Server auf etwa 2000 öffentlich zugänglichen Hosts verwendet.
Die Sicherheitslücke wird durch einen Fehler in der Funktion http_verify verursacht, die den Zugriff auf Dateisysteminhalte außerhalb des Stammverzeichnisses der Site verpasst, indem sie die Sequenz „.%0d./“ im Pfad übergibt. Die Sicherheitslücke entsteht, weil eine Prüfung auf das Vorhandensein von „../“-Zeichen durchgeführt wird, bevor die Pfadnormalisierungsfunktion ausgeführt wird, bei der Zeilenumbrüche (%0d) aus der Zeichenfolge entfernt werden.
für Sicherheitslücke können Sie anstelle eines CGI-Skripts auf /bin/sh zugreifen und ein beliebiges Shell-Konstrukt ausführen, indem Sie eine POST-Anfrage an den URI „/.%0d./.%0d./.%0d./.%0d./bin“ senden /sh " und Übergabe der Befehle im Hauptteil der Anfrage. Interessanterweise wurde bereits 2011 eine ähnliche Schwachstelle (CVE-2011-0751) in Nostromo behoben, die einen Angriff durch Senden der Anfrage „/..%2f..%2f..%2fbin/sh“ ermöglichte.
Source: opennet.ru