Auf dem http-Server
(CVE-2019-16278), die es einem Angreifer ermöglicht, Code aus der Ferne auf dem Server auszuführen, indem er eine speziell gestaltete HTTP-Anfrage sendet. Das Problem wird in der Veröffentlichung behoben
Die Sicherheitslücke wird durch einen Fehler in der Funktion http_verify verursacht, die den Zugriff auf Dateisysteminhalte außerhalb des Stammverzeichnisses der Site verpasst, indem sie die Sequenz „.%0d./“ im Pfad übergibt. Die Sicherheitslücke entsteht, weil eine Prüfung auf das Vorhandensein von „../“-Zeichen durchgeführt wird, bevor die Pfadnormalisierungsfunktion ausgeführt wird, bei der Zeilenumbrüche (%0d) aus der Zeichenfolge entfernt werden.
für
Source: opennet.ru