Se ha creado una actualización urgente para el servidor http Apache 2.4.50, que elimina una vulnerabilidad de día 0 ya explotada activamente (CVE-2021-41773), que permite el acceso a archivos desde áreas fuera del directorio raíz del sitio. Aprovechando la vulnerabilidad, es posible descargar archivos de sistema arbitrarios y textos fuente de scripts web, legibles por el usuario bajo el cual se ejecuta el servidor http. Los desarrolladores fueron notificados del problema el 17 de septiembre, pero no pudieron lanzar la actualización hasta hoy, después de que se registraran en la red casos de vulnerabilidad utilizada para atacar sitios web.
Para mitigar el peligro de la vulnerabilidad, el problema solo aparece en la versión 2.4.49 lanzada recientemente y no afecta a todas las versiones anteriores. Las ramas estables de distribuciones de servidor conservadoras aún no han utilizado la versión 2.4.49 (Debian, RHEL, Ubuntu, SUSE), pero el problema afectó a distribuciones que se actualizan continuamente como Fedora, Arch Linux y Gentoo, así como a versiones de FreeBSD.
La vulnerabilidad se debe a un error introducido durante una reescritura del código para normalizar rutas en URI, debido a que un carácter de punto codificado "%2e" en una ruta no se normalizaría si estuviera precedido por otro punto. Por lo tanto, fue posible sustituir caracteres "../" sin formato en la ruta resultante especificando la secuencia ".%2e/" en la solicitud. Por ejemplo, una solicitud como “https://example.com/cgi-bin/.%2e/.%2e/.%2e/.%2e/etc/passwd” o “https://example.com/cgi -bin /.%2e/%2e%2e/%2e%2e/%2e%2e/etc/hosts" le permitió obtener el contenido del archivo "/etc/passwd".
El problema no ocurre si el acceso a los directorios se deniega explícitamente mediante la configuración "requerir todo denegado". Por ejemplo, para protección parcial puede especificar en el archivo de configuración: requerir todo negado
Apache httpd 2.4.50 también corrige otra vulnerabilidad (CVE-2021-41524) que afecta a un módulo que implementa el protocolo HTTP/2. La vulnerabilidad hizo posible iniciar la desreferencia del puntero nulo enviando una solicitud especialmente diseñada y provocando que el proceso fallara. Esta vulnerabilidad también aparece sólo en la versión 2.4.49. Como solución alternativa de seguridad, puede desactivar la compatibilidad con el protocolo HTTP/2.
Fuente: opennet.ru