È stato creato un aggiornamento urgente per il server http Apache 2.4.50, che elimina una vulnerabilità 0-day già sfruttata attivamente (CVE-2021-41773), che consente l'accesso ai file da aree esterne alla directory root del sito. Utilizzando la vulnerabilità è possibile scaricare file di sistema arbitrari e testi sorgente di script web, leggibili dall'utente sotto il quale è in esecuzione il server http. Gli sviluppatori sono stati informati del problema il 17 settembre, ma hanno potuto rilasciare l'aggiornamento solo oggi, dopo che in rete sono stati registrati casi in cui la vulnerabilità veniva sfruttata per attaccare siti web.
A mitigare il pericolo della vulnerabilità è che il problema appare solo nella versione 2.4.49 rilasciata di recente e non influisce su tutte le versioni precedenti. I rami stabili delle distribuzioni server conservatrici non hanno ancora utilizzato la versione 2.4.49 (Debian, RHEL, Ubuntu, SUSE), ma il problema ha interessato distribuzioni continuamente aggiornate come Fedora, Arch Linux e Gentoo, nonché i port di FreeBSD.
La vulnerabilità è dovuta ad un bug introdotto durante una riscrittura del codice di normalizzazione dei percorsi negli URI, per cui un carattere punto codificato "%2e" in un percorso non verrebbe normalizzato se fosse preceduto da un altro punto. Pertanto, era possibile sostituire i caratteri grezzi “../” nel percorso risultante specificando la sequenza “.%2e/” nella richiesta. Ad esempio, una richiesta come "https://example.com/cgi-bin/.%2e/.%2e/.%2e/.%2e/etc/passwd" o "https://example.com/cgi -bin /.%2e/%2e%2e/%2e%2e/%2e%2e/etc/hosts" ti ha permesso di ottenere il contenuto del file "/etc/passwd".
Il problema non si verifica se l'accesso alle directory viene negato esplicitamente utilizzando l'impostazione "richiedi tutto negato". Ad esempio, per una protezione parziale è possibile specificare nel file di configurazione: richiede tutto negato
Apache httpd 2.4.50 risolve anche un'altra vulnerabilità (CVE-2021-41524) che colpisce un modulo che implementa il protocollo HTTP/2. La vulnerabilità ha reso possibile avviare la dereferenziazione del puntatore nullo inviando una richiesta appositamente predisposta e provocando l'arresto anomalo del processo. Questa vulnerabilità appare anche solo nella versione 2.4.49. Come soluzione alternativa alla sicurezza, puoi disabilitare il supporto per il protocollo HTTP/2.
Fonte: opennet.ru