Creouse unha actualización urxente do servidor http Apache 2.4.50, que elimina unha vulnerabilidade de día 0 xa explotada activamente (CVE-2021-41773), que permite o acceso a ficheiros desde áreas fóra do directorio raíz do sitio. Usando a vulnerabilidade, é posible descargar ficheiros de sistema arbitrarios e textos fonte de scripts web, lexibles polo usuario baixo o que se está a executar o servidor http. Os desenvolvedores foron notificados do problema o 17 de setembro, pero puideron lanzar a actualización só hoxe, despois de que se rexistrasen na rede casos de vulnerabilidade utilizada para atacar sitios web.
Para mitigar o perigo da vulnerabilidade é que o problema só aparece na versión 2.4.49 publicada recentemente e non afecta a todas as versións anteriores. As ramas estables das distribucións de servidores conservadores aínda non usaron a versión 2.4.49 (Debian, RHEL, Ubuntu, SUSE), pero o problema afectou a distribucións continuamente actualizadas como Fedora, Arch Linux e Gentoo, así como os portos de FreeBSD.
A vulnerabilidade débese a un erro introducido durante unha reescritura do código para normalizar camiños nos URI, polo que un carácter de punto codificado en "% 2e" nun camiño non se normalizaría se fose precedido doutro punto. Así, foi posible substituír caracteres "../" en bruto no camiño resultante especificando a secuencia ".%2e/" na solicitude. Por exemplo, unha solicitude como "https://example.com/cgi-bin/.%2e/.%2e/.%2e/.%2e/etc/passwd" ou "https://example.com/cgi -bin /.%2e/%2e%2e/%2e%2e/%2e%2e/etc/hosts" permitiulle obter o contido do ficheiro "/etc/passwd".
O problema non ocorre se o acceso aos directorios é denegado explícitamente mediante a configuración "requirir todo denegado". Por exemplo, para a protección parcial pode especificar no ficheiro de configuración: esixir todo negado
Apache httpd 2.4.50 tamén corrixe outra vulnerabilidade (CVE-2021-41524) que afecta a un módulo que implementa o protocolo HTTP/2. A vulnerabilidade permitiu iniciar a desreferencia do punteiro nulo enviando unha solicitude especialmente elaborada e provocar que o proceso fallase. Esta vulnerabilidade tamén aparece só na versión 2.4.49. Como solución de seguridade, pode desactivar a compatibilidade co protocolo HTTP/2.
Fonte: opennet.ru