Sürgős frissítés készült az Apache 2.4.50 http-kiszolgálóhoz, amely kiküszöböli a már aktívan kihasznált 0-napos biztonsági rést (CVE-2021-41773), amely lehetővé teszi a webhely gyökérkönyvtárán kívüli területekről származó fájlokhoz való hozzáférést. A sérülékenység segítségével tetszőleges rendszerfájlok és webszkriptek forrásszövegei tölthetők le, amelyeket a http szervert futtató felhasználó olvashat. A fejlesztők szeptember 17-én értesültek a problémáról, de csak ma tudták kiadni a frissítést, miután a sérülékenységet webhelyek támadására használták fel a hálózaton.
A sérülékenység veszélyét mérsékli, hogy a probléma csak a nemrég kiadott 2.4.49-es verzióban jelenik meg, és nem érinti az összes korábbi kiadást. A konzervatív szerverdisztribúciók stabil ágai még nem használták a 2.4.49-es kiadást (Debian, RHEL, Ubuntu, SUSE), de a probléma a folyamatosan frissített disztribúciókat, mint például a Fedora, Arch Linux és Gentoo, valamint a FreeBSD portjait érintette.
A sérülékenység oka az URI-k útvonalainak normalizálására szolgáló kód átírása során bevezetett hiba, amely miatt az elérési úton lévő „%2e” kódolt pontkarakter nem normalizálódik, ha egy másik pont előzné meg. Így lehetőség nyílt a nyers „../” karakterek behelyettesítésére a kapott útvonalba a „.%2e/” szekvencia megadásával a kérésben. Például egy „https://example.com/cgi-bin/.%2e/.%2e/.%2e/.%2e/etc/passwd” vagy „https://example.com/cgi” kérés -bin /.%2e/%2e%2e/%2e%2e/%2e%2e/etc/hosts" lehetővé tette a „/etc/passwd" fájl tartalmának lekérését.
A probléma nem jelentkezik, ha a könyvtárakhoz való hozzáférés kifejezetten meg van tiltva a „minden megtagadása szükséges” beállítással. Például részleges védelemhez megadhatja a konfigurációs fájlban: minden megtagadta
Az Apache httpd 2.4.50 egy másik biztonsági rést (CVE-2021-41524) is javít, amely a HTTP/2 protokollt megvalósító modult érinti. A biztonsági rés lehetővé tette a null mutató hivatkozási törlésének kezdeményezését egy speciálisan kialakított kérés elküldésével, és a folyamat összeomlását idézte elő. Ez a biztonsági rés is csak a 2.4.49-es verzióban jelenik meg. Biztonsági megoldásként letilthatja a HTTP/2 protokoll támogatását.
Forrás: opennet.ru