დაუცველობა Nostromo http სერვერზე, რომელიც იწვევს კოდის დისტანციურ შესრულებას

http სერვერზე Nostromo (nhttpd) იდენტიფიცირებული დაუცველობა
(CVE-2019-16278), რომელიც თავდამსხმელს საშუალებას აძლევს დისტანციურად შეასრულოს კოდი სერვერზე სპეციალურად შემუშავებული HTTP მოთხოვნის გაგზავნით. პრობლემა მოგვარდება გამოშვებაში 1.9.7 (ჯერ არ გამოქვეყნებულა). ვიმსჯელებთ Shodan-ის საძიებო სისტემიდან მიღებული ინფორმაციის მიხედვით, Nostromo http სერვერი გამოიყენება დაახლოებით 2000 საჯაროდ ხელმისაწვდომ ჰოსტზე.

დაუცველობა გამოწვეულია http_verify ფუნქციის შეცდომით, რომელიც ტოვებს წვდომას ფაილური სისტემის შიგთავსზე საიტის root დირექტორიას გარეთ, ბილიკზე ".%0d./" თანმიმდევრობის გადაცემით. დაუცველობა წარმოიქმნება იმის გამო, რომ „../“ სიმბოლოების არსებობის შემოწმება ხორციელდება ბილიკის ნორმალიზაციის ფუნქციის შესრულებამდე, რომელშიც ახალი ხაზის სიმბოლოები (%0d) ამოღებულია სტრიქონიდან.

იყიდება ექსპლუატაცია დაუცველობაზე, CGI სკრიპტის ნაცვლად შეგიძლიათ შეხვიდეთ /bin/sh და შეასრულოთ ნებისმიერი გარსის კონსტრუქცია URI-ზე POST მოთხოვნის გაგზავნით “/.%0d./.%0d./.%0d./.%0d./bin. /sh“ და ბრძანებების გადაცემა მოთხოვნის სხეულში. საინტერესოა, რომ 2011 წელს მსგავსი დაუცველობა (CVE-2011-0751) უკვე დაფიქსირდა ნოსტრომოში, რამაც დაუშვა შეტევა მოთხოვნის გაგზავნით „/..%2f..%2f..%2fbin/sh“.

წყარო: opennet.ru