یک بهروزرسانی فوری برای سرور http Apache 2.4.50 ایجاد شده است که آسیبپذیری 0 روزه (CVE-2021-41773) که قبلاً به طور فعال مورد سوء استفاده قرار گرفته بود را حذف میکند، که امکان دسترسی به فایلها را از مناطق خارج از فهرست اصلی سایت فراهم میکند. با استفاده از این آسیبپذیری، میتوان فایلهای سیستم دلخواه و متنهای منبع اسکریپتهای وب را دانلود کرد که توسط کاربری که سرور http تحت آن اجرا میشود قابل خواندن است. توسعه دهندگان از این مشکل در 17 سپتامبر مطلع شدند، اما پس از ثبت مواردی از آسیب پذیری مورد استفاده برای حمله به وب سایت ها در شبکه، تنها امروز توانستند به روز رسانی را منتشر کنند.
کاهش خطر آسیب پذیری این است که مشکل فقط در نسخه 2.4.49 اخیراً منتشر شده ظاهر می شود و بر همه نسخه های قبلی تأثیر نمی گذارد. شاخههای پایدار توزیعهای سرور محافظهکار هنوز از نسخه 2.4.49 (Debian، RHEL، Ubuntu، SUSE) استفاده نکردهاند، اما این مشکل بر روی توزیعهای بهروزرسانی مداوم مانند فدورا، آرچ لینوکس و جنتو و همچنین پورتهای FreeBSD تأثیر گذاشت.
این آسیبپذیری به دلیل اشکالی است که در خلال بازنویسی کد برای عادیسازی مسیرها در URI ایجاد شده است، به همین دلیل یک کاراکتر نقطه رمزگذاریشده «% 2e» در یک مسیر، اگر قبل از آن نقطه دیگری باشد، عادی نمیشود. بنابراین، میتوان کاراکترهای خام «../» را با تعیین دنباله «.%2e/» در درخواست جایگزین کرد. برای مثال، درخواستی مانند «https://example.com/cgi-bin/.%2e/.%2e/.%2e/.%2e/etc/passwd» یا «https://example.com/cgi -bin /.%2e/%2e%2e/%2e%2e/%2e%2e/etc/hosts" به شما امکان می دهد محتویات فایل "/etc/passwd" را دریافت کنید.
اگر دسترسی به دایرکتوری ها با استفاده از تنظیمات "require all denied" به صراحت ممنوع شود، مشکل پیش نمی آید. به عنوان مثال، برای محافظت جزئی می توانید در فایل پیکربندی مشخص کنید: نیاز به همه رد شد
Apache httpd 2.4.50 همچنین آسیب پذیری دیگری (CVE-2021-41524) را که بر روی ماژولی که پروتکل HTTP/2 را اجرا می کند، برطرف می کند. این آسیبپذیری این امکان را فراهم میآورد که با ارسال یک درخواست طراحیشده خاص، ارجاع نشانگر تهی را آغاز کرده و باعث از کار افتادن فرآیند شود. این آسیب پذیری نیز تنها در نسخه 2.4.49 ظاهر می شود. به عنوان یک راه حل امنیتی، می توانید پشتیبانی از پروتکل HTTP/2 را غیرفعال کنید.
منبع: opennet.ru