In driuwende fernijing foar de Apache 2.4.50 http-tsjinner is makke, dy't in al aktyf eksploitearre kwetsberens fan 0-dagen elimineert (CVE-2021-41773), dy't tagong jout ta bestannen fan gebieten bûten de rootmap fan 'e side. Mei help fan de kwetsberens is it mooglik om willekeurige systeembestannen en boarneteksten fan webskripts te downloaden, lêsber foar de brûker ûnder wa't de http-tsjinner rint. De ûntwikkelders waarden op 17 septimber op 'e hichte brocht fan it probleem, mar koene de fernijing allinich hjoed frijlitte, nei't gefallen fan' e kwetsberens dy't brûkt wurde om websiden oan te fallen, op it netwurk opnommen binne.
It ferminderjen fan it gefaar fan 'e kwetsberens is dat it probleem allinich ferskynt yn' e koartlyn útbrochte ferzje 2.4.49 en hat gjin ynfloed op alle eardere releases. De stabile tûken fan konservative serverdistribúsjes hawwe de 2.4.49-útjefte noch net brûkt (Debian, RHEL, Ubuntu, SUSE), mar it probleem beynfloede kontinu bywurke distribúsjes lykas Fedora, Arch Linux en Gentoo, lykas havens fan FreeBSD.
De kwetsberens komt troch in brek dy't yntrodusearre is by in herskriuwen fan de koade foar normalisearjen fan paden yn URI's, wêrtroch in "%2e" kodearre puntkarakter yn in paad net normalisearre wurde soe as it foarôfgien waard troch in oare punt. Sa wie it mooglik om rau "../"-tekens te ferfangen yn it resultearjende paad troch de folchoarder ".%2e/" op te jaan yn it fersyk. Bygelyks, in fersyk lykas "https://example.com/cgi-bin/.%2e/.%2e/.%2e/.%2e/etc/passwd" of "https://example.com/cgi" -bin /.%2e/%2e%2e/%2e%2e/%2e%2e/etc/hosts" lieten jo de ynhâld krije fan it bestân "/etc/passwd".
It probleem komt net foar as tagong ta mappen eksplisyt wegere wurdt mei de ynstelling "alles wegere easkje". Bygelyks, foar in part beskerming kinne jo opjaan yn it konfiguraasjetriem: require all denied
Apache httpd 2.4.50 reparearret ek in oare kwetsberens (CVE-2021-41524) dy't ynfloed hat op in module dy't it HTTP/2-protokol ymplementearret. De kwetsberens makke it mooglik om nul pointer dereference te begjinnen troch in spesjaal makke fersyk te stjoeren en it proses te ferûngelokke. Dizze kwetsberens ferskynt ek allinich yn ferzje 2.4.49. As befeiligingsoplossing kinne jo stipe foar it HTTP/2-protokol útskeakelje.
Boarne: opennet.ru