Urĝa ĝisdatigo al la Apache 2.4.50 http-servilo estis kreita, kiu forigas jam aktive ekspluatitan 0-tagan vundeblecon (CVE-2021-41773), kiu ebligas aliron al dosieroj de areoj ekster la radika dosierujo de la retejo. Uzante la vundeblecon, eblas elŝuti arbitrajn sistemajn dosierojn kaj fontajn tekstojn de retaj skriptoj, legeblaj de la uzanto, sub kiu funkcias la http-servilo. La programistoj estis sciigitaj pri la problemo la 17-an de septembro, sed povis liberigi la ĝisdatigon nur hodiaŭ, post kiam kazoj de la vundebleco uzata por ataki retejojn estis registritaj en la reto.
Mildigi la danĝeron de la vundebleco estas, ke la problemo nur aperas en la ĵus eldonita versio 2.4.49 kaj ne influas ĉiujn pli fruajn eldonojn. La stabilaj branĉoj de konservativaj servilaj distribuoj ankoraŭ ne uzis la 2.4.49-eldonon (Debian, RHEL, Ubuntu, SUSE), sed la problemo influis kontinue ĝisdatigitajn distribuojn kiel Fedora, Arch Linux kaj Gentoo, same kiel havenojn de FreeBSD.
La vundebleco estas pro cimo enkondukita dum reverko de la kodo por normaligado de padoj en URIoj, pro kiu "%2e" kodita punkto-signo en vojo ne estus normaligita se ĝi estus antaŭita de alia punkto. Tiel, estis eble anstataŭigi krudajn "../" signojn en la rezultan vojon specifante la sekvencon ".%2e/" en la peto. Ekzemple, peto kiel "https://example.com/cgi-bin/.%2e/.%2e/.%2e/.%2e/etc/passwd" aŭ "https://example.com/cgi -bin /.%2e/%2e%2e/%2e%2e/%2e%2e/etc/hosts" permesis al vi ricevi la enhavon de la dosiero "/etc/passwd".
La problemo ne okazas se aliro al dosierujoj estas eksplicite malkonfirmita uzante la agordon "postuli ĉion rifuzitan". Ekzemple, por parta protekto vi povas specifi en la agorda dosiero: postuli ĉion rifuzitan
Apache httpd 2.4.50 ankaŭ riparas alian vundeblecon (CVE-2021-41524) influantan modulon efektivigantan la HTTP/2-protokolon. La vundebleco ebligis iniciati nulmontrilan dereferencon sendante speciale kreitan peton kaj kaŭzi la procezon kraŝi. Ĉi tiu vundebleco ankaŭ aperas nur en versio 2.4.49. Kiel sekureca solvo, vi povas malŝalti subtenon por la HTTP/2-protokolo.
fonto: opennet.ru