Έχει δημιουργηθεί μια επείγουσα ενημέρωση στον διακομιστή http Apache 2.4.50, η οποία εξαλείφει μια ευπάθεια 0 ημερών που έχει ήδη εκμεταλλευτεί ενεργά (CVE-2021-41773), η οποία επιτρέπει την πρόσβαση σε αρχεία από περιοχές εκτός του ριζικού καταλόγου του ιστότοπου. Χρησιμοποιώντας την ευπάθεια, είναι δυνατή η λήψη αυθαίρετων αρχείων συστήματος και κειμένων πηγής σεναρίων ιστού, τα οποία είναι αναγνώσιμα από το χρήστη κάτω από τον οποίο εκτελείται ο διακομιστής http. Οι προγραμματιστές ενημερώθηκαν για το πρόβλημα στις 17 Σεπτεμβρίου, αλλά μπόρεσαν να κυκλοφορήσουν την ενημέρωση μόνο σήμερα, αφού στο δίκτυο καταγράφηκαν περιπτώσεις ευπάθειας που χρησιμοποιήθηκε για επίθεση σε ιστότοπους.
Ο μετριασμός του κινδύνου της ευπάθειας είναι ότι το πρόβλημα εμφανίζεται μόνο στην έκδοση 2.4.49 που κυκλοφόρησε πρόσφατα και δεν επηρεάζει όλες τις προηγούμενες εκδόσεις. Οι σταθεροί κλάδοι των συντηρητικών διανομών διακομιστών δεν έχουν χρησιμοποιήσει ακόμη την έκδοση 2.4.49 (Debian, RHEL, Ubuntu, SUSE), αλλά το πρόβλημα επηρέασε τις διανομές που ενημερώνονται συνεχώς όπως το Fedora, το Arch Linux και το Gentoo, καθώς και τις θύρες του FreeBSD.
Η ευπάθεια οφείλεται σε ένα σφάλμα που εισήχθη κατά την επανεγγραφή του κώδικα για την κανονικοποίηση των διαδρομών σε URI, λόγω του οποίου ένας χαρακτήρας κωδικοποιημένης κουκκίδας "%2e" σε μια διαδρομή δεν θα κανονικοποιούνταν εάν προηγούνταν άλλη κουκκίδα. Έτσι, ήταν δυνατή η αντικατάσταση ακατέργαστων χαρακτήρων «../» στη διαδρομή που προκύπτει, προσδιορίζοντας την ακολουθία «.%2e/» στο αίτημα. Για παράδειγμα, ένα αίτημα όπως "https://example.com/cgi-bin/.%2e/.%2e/.%2e/.%2e/etc/passwd" ή "https://example.com/cgi -bin /.%2e/%2e%2e/%2e%2e/%2e%2e/etc/host" σας επέτρεψε να λάβετε τα περιεχόμενα του αρχείου "/etc/passwd".
Το πρόβλημα δεν παρουσιάζεται εάν η πρόσβαση σε καταλόγους απαγορεύεται ρητά χρησιμοποιώντας τη ρύθμιση "require all denied". Για παράδειγμα, για μερική προστασία μπορείτε να καθορίσετε στο αρχείο διαμόρφωσης: απαιτούν την απόρριψη όλων
Το Apache httpd 2.4.50 διορθώνει επίσης μια άλλη ευπάθεια (CVE-2021-41524) που επηρεάζει μια λειτουργική μονάδα που υλοποιεί το πρωτόκολλο HTTP/2. Η ευπάθεια κατέστησε δυνατή την εκκίνηση της αποαναφοράς μηδενικού δείκτη στέλνοντας ένα ειδικά διαμορφωμένο αίτημα και να προκαλέσει τη διακοπή της λειτουργίας της διαδικασίας. Αυτή η ευπάθεια εμφανίζεται επίσης μόνο στην έκδοση 2.4.49. Ως λύση ασφαλείας, μπορείτε να απενεργοποιήσετε την υποστήριξη για το πρωτόκολλο HTTP/2.
Πηγή: opennet.ru