Chaidh ùrachadh èiginneach don fhrithealaiche Apache 2.4.50 http a chruthachadh, a chuireas às do chugallachd 0-latha a chaidh a chleachdadh gu gnìomhach (CVE-2021-41773), a leigeas le faighinn gu faidhlichean bho raointean taobh a-muigh eòlaire freumh na làraich. A’ cleachdadh so-leòntachd, tha e comasach faidhlichean siostam neo-riaghailteach agus teacsaichean tùsail de sgriobtaichean lìn a luchdachadh sìos, a ghabhas leughadh leis an neach-cleachdaidh fon bheil am frithealaiche http a’ ruith. Chaidh fios a chuir chun luchd-leasachaidh mun duilgheadas air 17 Sultain, ach cha b’ urrainn dhaibh an ùrachadh a leigeil ma sgaoil ach an-diugh, às deidh do chùisean den so-leòntachd a chaidh a chleachdadh gus ionnsaigh a thoirt air làraich-lìn a chlàradh air an lìonra.
Is e a bhith a’ lughdachadh cunnart so-leòntachd nach eil an duilgheadas a ’nochdadh ach anns an dreach 2.4.49 a chaidh fhoillseachadh o chionn ghoirid agus nach eil e a’ toirt buaidh air a h-uile brath nas tràithe. Chan eil na meuran seasmhach de sgaoilidhean frithealaiche glèidhidh fhathast air an sgaoileadh 2.4.49 (Debian, RHEL, Ubuntu, SUSE) a chleachdadh, ach thug an duilgheadas buaidh air sgaoilidhean a chaidh ùrachadh gu leantainneach leithid Fedora, Arch Linux agus Gentoo, a bharrachd air puirt FreeBSD.
Tha seo so-leòntachd mar thoradh air buga a chaidh a thoirt a-steach nuair a chaidh an còd ath-sgrìobhaidh airson slighean àbhaisteach ann an URIan, air sgàth sin cha bhiodh caractar dot le còd “% 2e” ann an frith-rathad air a h-àbhaistachadh nam biodh dot eile air thoiseach air. Mar sin, bha e comasach caractaran amh “../” a chuir a-steach don t-slighe a thàinig às le bhith a’ sònrachadh an t-sreath “.% 2e/” san iarrtas. Mar eisimpleir, iarrtas mar “https://example.com/cgi-bin/.%2e/.%2e/.%2e/.%2e/etc/passwd” no “https://example.com/cgi -bin /.%2e/%2e%2e/%2e%2e/%2e%2e/etc/hosts"le cead dhut susbaint an fhaidhle "/etc/passwd" fhaighinn.
Chan eil an duilgheadas a’ tachairt ma thèid ruigsinneachd gu clàran a dhiùltadh gu soilleir leis an t-suidheachadh “require all denied”. Mar eisimpleir, airson dìon pàirt faodaidh tu a shònrachadh anns an fhaidhle rèiteachaidh: iarraidh na h-uile air àicheadh
Bidh Apache httpd 2.4.50 cuideachd a ’càradh so-leòntachd eile (CVE-2021-41524) a’ toirt buaidh air modal a tha a ’cur an gnìomh protocol HTTP/2. Bha an so-leòntachd ga dhèanamh comasach casg a chuir air puing null le bhith a’ cur iarrtas sònraichte a-steach agus ag adhbhrachadh gun tuit am pròiseas. Chan eil an so-leòntachd seo a’ nochdadh ach ann an dreach 2.4.49. Mar fhuasgladh tèarainteachd, faodaidh tu taic airson protocol HTTP/2 a dhì-cheadachadh.
Source: fosgailtenet.ru