Nýr árásarvektor hefur fundist fyrir Apache http þjóninn, sem var óleiðréttur í uppfærslu 2.4.50 og leyfir aðgang að skrám frá svæðum utan rótarskrár síðunnar. Að auki hafa vísindamenn fundið aðferð sem gerir, í viðurvist ákveðnum óstöðluðum stillingum, ekki aðeins að lesa kerfisskrár, heldur einnig að keyra kóðann sinn á netþjóninum lítillega. Vandamálið birtist aðeins í útgáfum 2.4.49 og 2.4.50; fyrri útgáfur verða ekki fyrir áhrifum. Til að útrýma nýja varnarleysinu var Apache httpd 2.4.51 fljótt gefin út.
Í kjarnanum er nýja vandamálið (CVE-2021-42013) algjörlega svipað og upprunalega varnarleysið (CVE-2021-41773) í 2.4.49, eini munurinn er önnur kóðun á „..“ stöfunum. Sérstaklega í útgáfu 2.4.50 var lokað á möguleikann á að nota röðina „%2e“ til að kóða punkt, en möguleiki á tvöfaldri kóðun var sleppt - þegar röðin „%%32%65“ var tilgreind, afkóðaði þjónninn hana inn í "% 2e" og síðan inn í " .", þ.e. „../“ stafirnir til að fara í fyrri möppu gætu verið kóðaðir sem „.%%32%65/“.
Hvað varðar að nýta veikleikann með keyrslu kóða, þá er þetta mögulegt þegar mod_cgi er virkt og grunnslóðin er notuð þar sem keyrsla á CGI forskriftum er leyfð (til dæmis ef ScriptAlias tilskipunin er virkjuð eða ExecCGI fáninn er tilgreindur í Valkostatilskipun). Lögboðin krafa fyrir árangursríka árás er einnig að veita beinlínis aðgang að möppum með keyranlegum skrám, eins og /bin, eða aðgang að skráarkerfisrótinni "/" í Apache stillingunum. Þar sem slíkur aðgangur er venjulega ekki veittur hafa árásir á keyrslu kóða lítið notað á raunveruleg kerfi.
Á sama tíma er árásin til að fá innihald handahófskenndra kerfisskráa og frumtexta vefforskrifta, læsilegur af notandanum sem http-þjónninn er í gangi undir, áfram viðeigandi. Til að framkvæma slíka árás er nóg að hafa möppu á síðunni stillt með „Alias“ eða „ScriptAlias“ tilskipunum (DocumentRoot er ekki nóg), eins og „cgi-bin“.
Dæmi um misnotkun sem gerir þér kleift að keyra „id“ tólið á þjóninum: curl 'http://192.168.0.1/cgi-bin/.%%32%65/.%%32%65/.%% 32%65/.%% 32%65/.%%32%65/bin/sh' —data 'echo Content-Type: text/plain; bergmál; id' uid=1(púki) gid=1(púki) hópar=1(púki)
Dæmi um hetjudáð sem gerir þér kleift að birta innihald /etc/passwd og eitt af vefforskriftunum (til að gefa út skriftukóðann, verður að tilgreina möppuna sem er skilgreind með „Alias“ tilskipuninni, þar sem keyrsla skriftu er ekki virkjuð fyrir, sem grunnskrá): curl 'http://192.168.0.1 .32/cgi-bin/.%%65%32/.%%65%32/.%%65%32/.%%65%32/.% %65%192.168.0.1/etc/passwd' curl 'http: //32/aliaseddir/.%%65%32/.%%65%32/.%%65%32/.%%65%32/. %%65%2/usr/local/apacheXNUMX/cgi -bin/test.cgi'
Vandamálið hefur aðallega áhrif á stöðugt uppfærðar dreifingar eins og Fedora, Arch Linux og Gentoo, sem og höfn FreeBSD. Pakkar í stöðugum greinum íhaldssamra netþjónadreifinga Debian, RHEL, Ubuntu og SUSE verða ekki fyrir áhrifum af varnarleysinu. Vandamálið kemur ekki upp ef aðgangi að möppum er beinlínis neitað með því að nota stillinguna „require all denied“.
Heimild: opennet.ru