Apache 2.4.50 http zerbitzariaren premiazko eguneraketa bat sortu da, dagoeneko aktiboki ustiatutako 0 eguneko ahultasun bat ezabatzen duena (CVE-2021-41773), eta horri esker, gunearen erro-direktoriotik kanpoko eremuetako fitxategietara sarbidea ahalbidetzen da. Ahultasuna erabiliz, sistemaren fitxategi arbitrarioak eta web scripten iturburu-testuak deskargatu daitezke, http zerbitzaria exekutatzen ari den erabiltzaileak irakurtzeko modukoak. Garatzaileei irailaren 17an jakinarazi zieten arazoaren berri, baina gaur bakarrik kaleratu ahal izan zuten eguneratzea, sarean webguneak erasotzeko erabiltzen ari diren ahultasun kasuak erregistratu ostean.
Ahultasunaren arriskua arintzea da arazoa kaleratu berri den 2.4.49 bertsioan bakarrik agertzen dela eta ez duela aurreko bertsio guztietan eragiten. Zerbitzari-banaketa kontserbadoreen adar egonkorrek oraindik ez dute 2.4.49 bertsioa erabili (Debian, RHEL, Ubuntu, SUSE), baina arazoak etengabe eguneratutako banaketak izan zituen eragina, hala nola Fedora, Arch Linux eta Gentoo, baita FreeBSD-ren portuetan ere.
Zaurgarritasuna URIetan bideak normalizatzeko kodearen berridazketan sartutako akats baten ondoriozkoa da, eta horren ondorioz bide batean "%2e" kodetutako puntu-karaktere bat ez litzateke normalizatuko beste puntu bat aurretik balego. Horrela, posible zen β../β karaktere gordinak ordezkatzea ondoriozko bide-eskaeran β.%2e/β sekuentzia zehaztuz. Adibidez, "https://example.com/cgi-bin/.%2e/.%2e/.%2e/.%2e/etc/passwd" edo "https://example.com/cgi" bezalako eskaera bat. -bin /.%2e/%2e%2e/%2e%2e/%2e%2e/etc/hosts"-ek "/etc/passwd" fitxategiaren edukia lortzeko aukera eman zuen.
Arazoa ez da gertatzen direktorioetarako sarbidea esplizituki ukatzen bada "eskatu ukatu guztiak" ezarpena erabiliz. Adibidez, babes partzialerako konfigurazio fitxategian zehaztu dezakezu: guztiak ukatu behar dira
Apache httpd 2.4.50-k beste ahultasun bat ere konpontzen du (CVE-2021-41524) HTTP/2 protokoloa ezartzen duen modulu bati eragiten diona. Zaurgarritasunak erakusle nuluaren deserreferentzia abiaraztea ahalbidetu zuen, bereziki landutako eskaera bat bidaliz eta prozesua huts egitea. Ahultasun hau 2.4.49 bertsioan bakarrik agertzen da. Segurtasun konponbide gisa, HTTP/2 protokoloaren laguntza desgai dezakezu.
Iturria: opennet.ru