Pembaruan mendesak pada server http Apache 2.4.50 telah dibuat, yang menghilangkan kerentanan 0 hari yang sudah dieksploitasi secara aktif (CVE-2021-41773), yang memungkinkan akses ke file dari area di luar direktori root situs. Dengan menggunakan kerentanan ini, dimungkinkan untuk mengunduh file sistem sewenang-wenang dan teks sumber skrip web, yang dapat dibaca oleh pengguna yang menjalankan server http. Pengembang diberitahu tentang masalah ini pada tanggal 17 September, namun baru dapat merilis pembaruan hari ini, setelah kasus kerentanan yang digunakan untuk menyerang situs web tercatat di jaringan.
Mitigasi bahaya kerentanan adalah bahwa masalah hanya muncul di versi 2.4.49 yang baru dirilis dan tidak mempengaruhi semua rilis sebelumnya. Cabang stabil dari distribusi server konservatif belum menggunakan rilis 2.4.49 (Debian, RHEL, Ubuntu, SUSE), tetapi masalah ini mempengaruhi distribusi yang terus diperbarui seperti Fedora, Arch Linux dan Gentoo, serta port FreeBSD.
Kerentanan ini disebabkan oleh bug yang muncul selama penulisan ulang kode untuk menormalkan jalur di URI, yang menyebabkan karakter titik berkode "%2e" di jalur tidak akan dinormalisasi jika didahului oleh titik lain. Dengan demikian, dimungkinkan untuk mengganti karakter mentah “../” ke dalam jalur yang dihasilkan dengan menentukan urutan “.%2e/” dalam permintaan. Misalnya, permintaan seperti “https://example.com/cgi-bin/.%2e/.%2e/.%2e/.%2e/etc/passwd” atau “https://example.com/cgi -bin /.%2e/%2e%2e/%2e%2e/%2e%2e/etc/hosts" memungkinkan Anda mendapatkan konten file "/etc/passwd".
Masalah tidak terjadi jika akses ke direktori ditolak secara eksplisit menggunakan pengaturan “wajibkan semua ditolak”. Misalnya, untuk perlindungan parsial, Anda dapat menentukan di file konfigurasi: mengharuskan semua ditolak
Apache httpd 2.4.50 juga memperbaiki kerentanan lain (CVE-2021-41524) yang memengaruhi modul yang mengimplementasikan protokol HTTP/2. Kerentanan memungkinkan untuk memulai dereferensi penunjuk nol dengan mengirimkan permintaan yang dibuat khusus dan menyebabkan proses terhenti. Kerentanan ini juga hanya muncul di versi 2.4.49. Sebagai solusi keamanan, Anda dapat menonaktifkan dukungan untuk protokol HTTP/2.
Sumber: opennet.ru