Apache 2.4.50 http-palvelimeen on luotu kiireellinen päivitys, joka eliminoi jo aktiivisesti hyödynnetyn 0 päivän haavoittuvuuden (CVE-2021-41773), joka mahdollistaa pääsyn tiedostoihin sivuston juurihakemiston ulkopuolelta. Haavoittuvuuden avulla on mahdollista ladata mielivaltaisia järjestelmätiedostoja ja web-skriptien lähdetekstejä, joita http-palvelinta käyttävä käyttäjä voi lukea. Kehittäjille ilmoitettiin ongelmasta 17. syyskuuta, mutta he pystyivät julkaisemaan päivityksen vasta tänään, kun verkkoon tallennettiin tapauksia, joissa haavoittuvuutta käytettiin hyökkäämään verkkosivustoihin.
Haavoittuvuuden vaaraa lieventää se, että ongelma ilmenee vain äskettäin julkaistussa versiossa 2.4.49, eikä se vaikuta kaikkiin aikaisempiin julkaisuihin. Konservatiivisten palvelinjakelujen vakaat haarat eivät ole vielä käyttäneet versiota 2.4.49 (Debian, RHEL, Ubuntu, SUSE), mutta ongelma vaikutti jatkuvasti päivittyviin jakeluihin, kuten Fedoraan, Arch Linuxiin ja Gentoon, sekä FreeBSD:n portteihin.
Haavoittuvuus johtuu URI:iden polkujen normalisointikoodin uudelleenkirjoituksen yhteydessä ilmenneestä virheestä, jonka vuoksi polussa olevaa "%2e"-koodattua pistemerkkiä ei normalisoida, jos sitä edeltää toinen piste. Näin ollen oli mahdollista korvata raakoja "../"-merkkejä tuloksena olevaan polkuun määrittämällä pyyntöön sekvenssi ".%2e/". Esimerkiksi pyyntö, kuten "https://example.com/cgi-bin/.%2e/.%2e/.%2e/.%2e/etc/passwd" tai "https://example.com/cgi -bin /.%2e/%2e%2e/%2e%2e/%2e%2e/etc/hosts" antoi sinun saada tiedoston "/etc/passwd" sisällön.
Ongelmaa ei ilmene, jos pääsy hakemistoihin on nimenomaisesti estetty "vaadi kaikki estetty" -asetuksella. Esimerkiksi osittaista suojausta varten voit määrittää asetustiedostossa: vaativat kaikki estetty
Apache httpd 2.4.50 korjaa myös toisen haavoittuvuuden (CVE-2021-41524), joka vaikuttaa HTTP/2-protokollaa toteuttavaan moduuliin. Haavoittuvuus mahdollisti nollaosoittimen viittauksen käynnistämisen lähettämällä erityisesti muotoillun pyynnön ja aiheutti prosessin kaatumisen. Tämä haavoittuvuus näkyy myös vain versiossa 2.4.49. Suojauksen kiertotapana voit poistaa HTTP/2-protokollan tuen käytöstä.
Lähde: opennet.ru