Vektor serangan anyar wis ditemokake kanggo server http Apache, sing tetep ora dikoreksi ing nganyari 2.4.50 lan ngidini akses menyang file saka wilayah ing njaba direktori root situs. Kajaba iku, peneliti wis nemokake cara sing ngidini, ing ngarsane setelan non-standar tartamtu, ora mung kanggo maca file sistem, nanging uga kanggo mbatalake nglakokaké kode ing server. Masalah mung katon ing release 2.4.49 lan 2.4.50; versi sadurungé ora kena pengaruh. Kanggo ngilangi kerentanan anyar, Apache httpd 2.4.51 dirilis kanthi cepet.
Intine, masalah anyar (CVE-2021-42013) meh padha karo kerentanan asli (CVE-2021-41773) ing 2.4.49, mung bedane yaiku enkoding sing beda saka karakter "..". Utamane, ing release 2.4.50 kemampuan kanggo nggunakake urutan "%2e" kanggo encode titik diblokir, nanging kamungkinan pindho enkoding ora kejawab - nalika nemtokake urutan "%%32%65", server decoded. menyang "%2e" banjur menyang " .", i.e. karakter "../" kanggo pindhah menyang direktori sadurunge bisa dienkode minangka ".%%32%65/".
Kanggo ngeksploitasi kerentanan liwat eksekusi kode, iki bisa ditindakake nalika mod_cgi diaktifake lan jalur dasar digunakake kanggo eksekusi skrip CGI (contone, yen arahan ScriptAlias diaktifake utawa gendera ExecCGI ditemtokake ing Pilihan arahan). Persyaratan wajib kanggo serangan sing sukses uga nyedhiyakake akses menyang direktori kanthi file sing bisa dieksekusi, kayata / bin, utawa akses menyang root sistem file "/" ing setelan Apache. Amarga akses kasebut biasane ora diwenehake, serangan eksekusi kode duwe aplikasi cilik kanggo sistem nyata.
Ing wektu sing padha, serangan kanggo entuk isi file sistem sing sewenang-wenang lan teks sumber skrip web, sing bisa diwaca dening pangguna ing ngendi server http mlaku, tetep relevan. Kanggo nindakake serangan kasebut, cukup nduwe direktori ing situs sing dikonfigurasi nggunakake arahan "Alias" utawa "ScriptAlias" (DocumentRoot ora cukup), kayata "cgi-bin".
Conto eksploitasi sing ngidini sampeyan nglakokake utilitas "id" ing server: curl 'http://192.168.0.1/cgi-bin/.%%32%65/.%%32%65/.%% 32%65/.%% 32%65/.%%32%65/bin/sh' —data 'echo Content-Type: text/plain; kumandhang; id' uid=1(daemon) gid=1(daemon) grup=1(daemon)
Conto eksploitasi sing ngidini sampeyan nampilake isi / etc / passwd lan salah sawijining skrip web (kanggo ngasilake kode skrip, direktori sing ditetepake liwat arahan "Alias", sing eksekusi skrip ora diaktifake, kudu ditemtokake minangka direktori dhasar): curl 'http://192.168.0.1 .32/cgi-bin/.%%65%32/.%%65%32/.%%65%32/.%%65%32/.% %65%192.168.0.1/etc/passwd' curl 'http: //32/aliaseddir/.%%65%32/.%%65%32/.%%65%32/.%%65%32/. %%65%2/usr/local/apacheXNUMX/cgi -bin/test.cgi'
Masalah kasebut utamane mengaruhi distribusi sing terus dianyari kayata Fedora, Arch Linux lan Gentoo, uga port FreeBSD. Paket ing cabang stabil distribusi server konservatif Debian, RHEL, Ubuntu lan SUSE ora kena pengaruh kerentanan kasebut. Masalah ora kedadeyan yen akses menyang direktori ditolak kanthi jelas nggunakake setelan "mbutuhake kabeh ditolak".
Source: opennet.ru