Apache 2.4.50 http-serverisse on loodud kiireloomuline värskendus, mis kõrvaldab juba aktiivselt ära kasutatud 0-päevase haavatavuse (CVE-2021-41773), mis võimaldab juurdepääsu failidele väljaspool saidi juurkataloogi. Haavatavust kasutades on võimalik alla laadida suvalisi süsteemifaile ja veebiskriptide lähtetekste, mida saab lugeda kasutajale, kelle all http-server töötab. Arendajaid teavitati probleemist 17. septembril, kuid said värskenduse välja anda alles täna, pärast seda, kui võrku registreeriti juhtumeid, kus haavatavust kasutati veebisaitide ründamiseks.
Haavatavuse ohtu vähendab see, et probleem ilmneb ainult hiljuti välja antud versioonis 2.4.49 ega mõjuta kõiki varasemaid versioone. Konservatiivsete serveridistributsioonide stabiilsed harud pole veel versiooni 2.4.49 (Debian, RHEL, Ubuntu, SUSE) kasutanud, kuid probleem puudutas pidevalt uuendatavaid distributsioone nagu Fedora, Arch Linux ja Gentoo, aga ka FreeBSD porte.
Haavatavuse põhjuseks on URI-de teede normaliseerimiseks mõeldud koodi ümberkirjutamise käigus tekkinud viga, mille tõttu ei normaliseeritaks tee "%2e" kodeeritud punktimärki, kui sellele eelneks teine punkt. Seega oli võimalik saadud teele asendada toored “../” märgid, määrates päringus järjestuse “.%2e/”. Näiteks taotlus „https://example.com/cgi-bin/.%2e/.%2e/.%2e/.%2e/etc/passwd” või „https://example.com/cgi -bin /.%2e/%2e%2e/%2e%2e/%2e%2e/etc/hosts" võimaldas teil hankida faili "/etc/passwd" sisu.
Probleemi ei teki, kui juurdepääs kataloogidele on sätte „nõua kõiki keelatud” abil selgesõnaliselt keelatud. Näiteks osalise kaitse jaoks saate konfiguratsioonifailis määrata: nõuda kõik keelatud
Apache httpd 2.4.50 parandab ka teise haavatavuse (CVE-2021-41524), mis mõjutab HTTP/2 protokolli rakendavat moodulit. See haavatavus võimaldas käivitada null-osutaja viitamise, saates spetsiaalselt koostatud päringu ja põhjustada protsessi kokkujooksmise. See haavatavus ilmneb ka ainult versioonis 2.4.49. Turvalahendusena saate HTTP/2-protokolli toe keelata.
Allikas: opennet.ru