Ing server http (nhttpd) kerentanan
(CVE-2019-16278), sing ngidini panyerang nglakokake kode saka jarak jauh ing server kanthi ngirim panjalukan HTTP sing digawe khusus. Masalah bakal didandani ing release (durung diterbitake). Miturut informasi saka mesin telusur Shodan, server http Nostromo digunakake ing kira-kira 2000 host sing bisa diakses umum.
Kerentanan kasebut disebabake kesalahan ing fungsi http_verify, sing ora bisa ngakses isi sistem file ing njaba direktori root situs kanthi ngliwati urutan ".%0d./" ing dalan. Kerentanan kasebut amarga mriksa ananΓ© karakter "../" ditindakake sadurunge fungsi normalisasi path dieksekusi, ing ngendi karakter baris anyar (%0d) dibusak saka senar.
Kanggo kerentanan, sampeyan bisa ngakses /bin/sh tinimbang skrip CGI lan nglakokake konstruksi cangkang kanthi ngirim panjalukan POST menyang URI "/.%0d./.%0d./.%0d./.%0d./bin /sh" lan ngirimake printah ing awak panyuwunan. Apike, ing 2011, kerentanan sing padha (CVE-2011-0751) wis didandani ing Nostromo, sing ngidini serangan kanthi ngirim panjalukan "/..%2f..%2f..%2fbin/sh".
Source: opennet.ru