פגיעות בשרת Apache 2.4.49 http המאפשרת קבלת קבצים מחוץ לשורש האתר

נוצר עדכון דחוף לשרת ה-Apache 2.4.50 http, אשר מבטל פגיעות של 0 ימים שכבר מנוצלת באופן פעיל (CVE-2021-41773), המאפשרת גישה לקבצים מאזורים מחוץ לספריית השורש של האתר. באמצעות הפגיעות, ניתן להוריד קבצי מערכת שרירותיים וטקסטים מקוריים של סקריפטים באינטרנט, הניתנים לקריאה על ידי המשתמש שתחתיו פועל שרת http. המפתחים קיבלו הודעה על הבעיה ב-17 בספטמבר, אך הצליחו לשחרר את העדכון רק היום, לאחר שתועדו ברשת מקרים של שימוש בפגיעות לתקיפת אתרים.

מפחית את הסכנה של הפגיעות היא שהבעיה מופיעה רק בגרסה 2.4.49 שיצאה לאחרונה ואינה משפיעה על כל המהדורות הקודמות. הענפים היציבים של הפצות שרתים שמרניות עדיין לא השתמשו במהדורת 2.4.49 (Debian, RHEL, Ubuntu, SUSE), אך הבעיה השפיעה על הפצות המתעדכנות ברציפות כגון Fedora, Arch Linux ו- Gentoo, כמו גם יציאות של FreeBSD.

הפגיעות נובעת מבאג שהוצג במהלך שכתוב של הקוד לנרמול נתיבים ב-URI, עקב כך תו נקודה מקודד "%2e" בנתיב לא היה מנורמל אם קודמה לו נקודה אחרת. לפיכך, ניתן היה להחליף תווי "../" גולמיים בנתיב שנוצר על ידי ציון הרצף ".%2e/" בבקשה. לדוגמה, בקשה כמו "https://example.com/cgi-bin/.%2e/.%2e/.%2e/.%2e/etc/passwd" או "https://example.com/cgi" -bin /.%2e/%2e%2e/%2e%2e/%2e%2e/etc/hosts" אפשרו לך לקבל את התוכן של הקובץ "/etc/passwd".

הבעיה אינה מתרחשת אם הגישה לספריות נדחתה במפורש באמצעות ההגדרה "דרוש כל נדחה". לדוגמה, להגנה חלקית אתה יכול לציין בקובץ התצורה: דורשים שכולם ידחו

Apache httpd 2.4.50 מתקן גם פגיעות נוספת (CVE-2021-41524) המשפיעה על מודול המיישם את פרוטוקול HTTP/2. הפגיעות אפשרה ליזום הפניית מצביע null על ידי שליחת בקשה בעלת מבנה מיוחד ולגרום לתהליך לקרוס. גם פגיעות זו מופיעה רק בגרסה 2.4.49. כפתרון אבטחה, אתה יכול להשבית את התמיכה בפרוטוקול HTTP/2.

מקור: OpenNet.ru