Yn http tsjinner (nhttpd) kwetsberens
(CVE-2019-16278), wêrtroch in oanfaller op ôfstân koade op 'e tsjinner kin útfiere troch in spesjaal makke HTTP-fersyk te ferstjoeren. It probleem sil wurde reparearre yn release (noch net publisearre). Beoardielje troch ynformaasje fan 'e Shodan-sykmasjine, wurdt de Nostromo http-tsjinner brûkt op sawat 2000 iepenbier tagonklike hosts.
De kwetsberens wurdt feroarsake troch in flater yn 'e http_verify-funksje, dy't tagong mist ta de ynhâld fan bestânsysteem bûten de rootmap fan 'e side troch de folchoarder ".%0d./" yn it paad troch te jaan. De kwetsberens komt foar om't in kontrôle foar de oanwêzigens fan "../"-tekens útfierd wurdt foardat de paadnormalisaasjefunksje útfierd wurdt, wêrby't nijeline-tekens (%0d) út 'e tekenrige fuortsmiten wurde.
foar kwetsberens, kinne jo tagong krije ta /bin/sh ynstee fan in CGI-skript en elke shellkonstruksje útfiere troch in POST-fersyk te stjoeren nei de URI "/.%0d./.%0d./.%0d./.%0d./bin /sh" en it trochjaan fan de kommando's yn it lichem fan it fersyk. Ynteressant, yn 2011, in ferlykbere kwetsberens (CVE-2011-0751) waard al fêst yn Nostromo, dy't tastien in oanfal troch it ferstjoeren fan it fersyk "/..%2f..%2f..%2fbin/sh".
Boarne: opennet.ru