Apache 2.4.50 http サーバーに対する緊急アップデートが作成されました。これにより、サイトのルート ディレクトリの外側の領域からファイルにアクセスできるようにする、すでに悪用されているゼロデイ脆弱性 (CVE-0-2021) が排除されます。 この脆弱性を利用すると、http サーバーを実行しているユーザーが読み取ることができる、任意のシステム ファイルや Web スクリプトのソース テキストがダウンロードされる可能性があります。 開発者は 41773 月 17 日にこの問題について通知されましたが、この脆弱性が Web サイトへの攻撃に使用された事例がネットワーク上に記録されたため、本日になってようやくアップデートをリリースできました。
この脆弱性の危険性は、この問題が最近リリースされたバージョン 2.4.49 でのみ発生し、以前のすべてのリリースには影響しないため、軽減されます。 保守的なサーバー ディストリビューションの安定版ブランチではまだ 2.4.49 リリース (Debian、RHEL、Ubuntu、SUSE) が使用されていませんが、この問題は、FreeBSD のポートだけでなく、Fedora、Arch Linux、Gentoo などの継続的に更新されるディストリビューションにも影響を及ぼしました。
この脆弱性は、URI 内のパスを正規化するためのコードの書き換え中に導入されたバグが原因で、パス内の「%2e」でエンコードされたドット文字の前に別のドットがある場合、その文字が正規化されません。 したがって、リクエストでシーケンス「.%2e/」を指定することで、生の「../」文字を結果のパスに置き換えることができました。 たとえば、「https://example.com/cgi-bin/.%2e/.%2e/.%2e/.%2e/etc/passwd」または「https://example.com/cgi」のようなリクエスト-bin /.%2e/%2e%2e/%2e%2e/%2e%2e/etc/hosts" を使用すると、ファイル "/etc/passwd" の内容を取得できます。
「すべて拒否する必要がある」設定を使用してディレクトリへのアクセスが明示的に拒否されている場合、この問題は発生しません。 たとえば、部分的な保護の場合は、構成ファイルで次のように指定できます。 すべて拒否する必要がある
Apache httpd 2.4.50 では、HTTP/2021 プロトコルを実装するモジュールに影響を与える別の脆弱性 (CVE-41524-2) も修正されています。 この脆弱性により、特別に細工されたリクエストを送信することで null ポインタの逆参照が開始され、プロセスがクラッシュする可能性があります。 この脆弱性もバージョン 2.4.49 にのみ発生します。 セキュリティの回避策として、HTTP/2 プロトコルのサポートを無効にすることができます。
出所: オープンネット.ru