ProHoster > Pūnaewele > nūhou pūnaewele > ʻO ka Vulnerability i ka Apache 2.4.49 http server e hiki ai iā ʻoe ke loaʻa nā faila ma waho o ke kumu pūnaewele

ʻO ka Vulnerability i ka Apache 2.4.49 http server e hiki ai iā ʻoe ke loaʻa nā faila ma waho o ke kumu pūnaewele

Ua hoʻokumu ʻia kahi hōʻano hou i ka Apache 2.4.50 http server, kahi e hoʻopau ai i kahi nāwaliwali 0-lā i hoʻohana mua ʻia (CVE-2021-41773), e hiki ai ke komo i nā faila mai nā wahi ma waho o ka papa kuhikuhi kumu o ka pūnaewele. Me ka hoʻohana ʻana i ka nāwaliwali, hiki ke hoʻoiho i nā faila ʻōnaehana arbitrary a me nā kikokikona kumu o nā palapala pūnaewele, hiki ke heluhelu ʻia e ka mea hoʻohana ma lalo o ka holo ʻana o ka server http. Ua hoʻolaha ʻia nā mea hoʻomohala i ka pilikia ma Kepakemapa 17, akā hiki iā lākou ke hoʻokuʻu i ka mea hou i kēia lā wale nō, ma hope o ka hoʻopaʻa ʻia ʻana o nā hihia o ka nāwaliwali i hoʻohana ʻia e hoʻouka i nā pūnaewele.

ʻO ka hoʻohaʻahaʻa ʻana i ka pōʻino o ka nāwaliwali ke ʻike ʻia ka pilikia ma ka mana 2.4.49 i hoʻokuʻu hou ʻia a ʻaʻole pili i nā hoʻokuʻu mua. ʻAʻole i hoʻohana nā lālā paʻa o ka hoʻolaha kikowaena conservative i ka hoʻokuʻu 2.4.49 (Debian, RHEL, Ubuntu, SUSE), akā ua pili ka pilikia i ka hoʻomau mau ʻia e like me Fedora, Arch Linux a me Gentoo, a me nā awa o FreeBSD.

Ma muli o ka hewa i hoʻokomo ʻia i ka wā o ke kākau hou ʻana i ke code no ka hoʻomaʻamaʻa ʻana i nā ala ma nā URI, no laila ʻaʻole e hoʻomaʻamaʻa ʻia kahi ʻano kiko kiko "%2e" i kahi ala inā i mua ia e kahi kiko ʻē aʻe. No laila, ua hiki ke hoʻololi i nā huaʻōlelo "../" maka i ke ala i loaʻa ai ma ke kuhikuhi ʻana i ke kaʻina ".%2e/" i ka noi. No ka laʻana, he noi e like me "https://example.com/cgi-bin/.%2e/.%2e/.%2e/.%2e/etc/passwd" a i ʻole "https://example.com/cgi -bin /.%2e/%2e%2e/%2e%2e/%2e%2e/etc/hosts" hiki iā ʻoe ke kiʻi i nā mea o ka faila "/etc/passwd".

ʻAʻole hiki ke pilikia inā hōʻole ʻia ke komo ʻana i nā papa kuhikuhi me ka hoʻohana ʻana i ka hoʻonohonoho "pono ​​i hōʻole ʻia". No ka laʻana, no ka pale hapa hiki iā ʻoe ke kuhikuhi i ka faila hoʻonohonoho: koi aku i na mea a pau e hoole

Hoʻoponopono pū ʻo Apache httpd 2.4.50 i kahi nāwaliwali ʻē aʻe (CVE-2021-41524) e pili ana i kahi module e hoʻokō ana i ka protocol HTTP/2. ʻO ka nāwaliwali i hiki ai ke hoʻomaka i ka null pointer dereference ma o ka hoʻouna ʻana i kahi noi i hana ʻia a hoʻopau i ke kaʻina hana. Hōʻike ʻia kēia nāwaliwali ma ka mana 2.4.49 wale nō. Ma ke ʻano he hana palekana, hiki iā ʻoe ke hoʻopau i ke kākoʻo no ka protocol HTTP/2.

Source: opennet.ru

Pākuʻi i ka manaʻo hoʻopuka