Apache http ಸರ್ವರ್ಗಾಗಿ ಹೊಸ ದಾಳಿ ವೆಕ್ಟರ್ ಕಂಡುಬಂದಿದೆ, ಇದು ನವೀಕರಣ 2.4.50 ನಲ್ಲಿ ಸರಿಪಡಿಸದೆ ಉಳಿದಿದೆ ಮತ್ತು ಸೈಟ್ನ ಮೂಲ ಡೈರೆಕ್ಟರಿಯ ಹೊರಗಿನ ಪ್ರದೇಶಗಳಿಂದ ಫೈಲ್ಗಳಿಗೆ ಪ್ರವೇಶವನ್ನು ಅನುಮತಿಸುತ್ತದೆ. ಹೆಚ್ಚುವರಿಯಾಗಿ, ಸಂಶೋಧಕರು ಕೆಲವು ಪ್ರಮಾಣಿತವಲ್ಲದ ಸೆಟ್ಟಿಂಗ್ಗಳ ಉಪಸ್ಥಿತಿಯಲ್ಲಿ ಸಿಸ್ಟಮ್ ಫೈಲ್ಗಳನ್ನು ಓದಲು ಮಾತ್ರವಲ್ಲದೆ ಸರ್ವರ್ನಲ್ಲಿ ರಿಮೋಟ್ ಆಗಿ ತಮ್ಮ ಕೋಡ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ಅನುಮತಿಸುವ ವಿಧಾನವನ್ನು ಕಂಡುಕೊಂಡಿದ್ದಾರೆ. 2.4.49 ಮತ್ತು 2.4.50 ಬಿಡುಗಡೆಗಳಲ್ಲಿ ಮಾತ್ರ ಸಮಸ್ಯೆ ಕಾಣಿಸಿಕೊಳ್ಳುತ್ತದೆ; ಹಿಂದಿನ ಆವೃತ್ತಿಗಳು ಪರಿಣಾಮ ಬೀರುವುದಿಲ್ಲ. ಹೊಸ ದುರ್ಬಲತೆಯನ್ನು ತೊಡೆದುಹಾಕಲು, Apache httpd 2.4.51 ಅನ್ನು ತ್ವರಿತವಾಗಿ ಬಿಡುಗಡೆ ಮಾಡಲಾಯಿತು.
ಅದರ ಮಧ್ಯಭಾಗದಲ್ಲಿ, ಹೊಸ ಸಮಸ್ಯೆ (CVE-2021-42013) 2021 ರಲ್ಲಿ ಮೂಲ ದುರ್ಬಲತೆಗೆ (CVE-41773-2.4.49) ಸಂಪೂರ್ಣವಾಗಿ ಹೋಲುತ್ತದೆ, ".." ಅಕ್ಷರಗಳ ವಿಭಿನ್ನ ಎನ್ಕೋಡಿಂಗ್ ಮಾತ್ರ ವ್ಯತ್ಯಾಸವಾಗಿದೆ. ನಿರ್ದಿಷ್ಟವಾಗಿ, ಬಿಡುಗಡೆ 2.4.50 ರಲ್ಲಿ ಪಾಯಿಂಟ್ ಅನ್ನು ಎನ್ಕೋಡ್ ಮಾಡಲು "% 2e" ಅನುಕ್ರಮವನ್ನು ಬಳಸುವ ಸಾಮರ್ಥ್ಯವನ್ನು ನಿರ್ಬಂಧಿಸಲಾಗಿದೆ, ಆದರೆ ಡಬಲ್ ಎನ್ಕೋಡಿಂಗ್ನ ಸಾಧ್ಯತೆಯು ತಪ್ಪಿಹೋಯಿತು - "%% 32% 65" ಅನುಕ್ರಮವನ್ನು ಸೂಚಿಸುವಾಗ, ಸರ್ವರ್ ಅದನ್ನು ಡಿಕೋಡ್ ಮಾಡಿದೆ "% 2e" ಗೆ ಮತ್ತು ನಂತರ " ." ಗೆ, ಅಂದರೆ. ಹಿಂದಿನ ಡೈರೆಕ್ಟರಿಗೆ ಹೋಗಲು "../" ಅಕ್ಷರಗಳನ್ನು ".%%32%65/" ಎಂದು ಎನ್ಕೋಡ್ ಮಾಡಬಹುದು.
ಕೋಡ್ ಎಕ್ಸಿಕ್ಯೂಶನ್ ಮೂಲಕ ದುರ್ಬಲತೆಯನ್ನು ಬಳಸಿಕೊಳ್ಳಲು, mod_cgi ಅನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಿದಾಗ ಮತ್ತು CGI ಸ್ಕ್ರಿಪ್ಟ್ಗಳ ಕಾರ್ಯಗತಗೊಳಿಸುವಿಕೆಯನ್ನು ಅನುಮತಿಸುವ ಮೂಲ ಮಾರ್ಗವನ್ನು ಬಳಸಿದಾಗ ಇದು ಸಾಧ್ಯ (ಉದಾಹರಣೆಗೆ, ScriptAlias ನಿರ್ದೇಶನವನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಿದ್ದರೆ ಅಥವಾ ExecCGI ಫ್ಲ್ಯಾಗ್ ಅನ್ನು ನಿರ್ದಿಷ್ಟಪಡಿಸಿದರೆ ಆಯ್ಕೆಗಳ ನಿರ್ದೇಶನ). ಯಶಸ್ವಿ ದಾಳಿಗೆ ಕಡ್ಡಾಯ ಅವಶ್ಯಕತೆಯೆಂದರೆ /bin ನಂತಹ ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದ ಫೈಲ್ಗಳೊಂದಿಗೆ ಡೈರೆಕ್ಟರಿಗಳಿಗೆ ಪ್ರವೇಶವನ್ನು ಸ್ಪಷ್ಟವಾಗಿ ಒದಗಿಸುವುದು ಅಥವಾ ಅಪಾಚೆ ಸೆಟ್ಟಿಂಗ್ಗಳಲ್ಲಿ ಫೈಲ್ ಸಿಸ್ಟಮ್ ರೂಟ್ “/” ಗೆ ಪ್ರವೇಶವನ್ನು ಒದಗಿಸುವುದು. ಅಂತಹ ಪ್ರವೇಶವನ್ನು ಸಾಮಾನ್ಯವಾಗಿ ನೀಡಲಾಗಿಲ್ಲವಾದ್ದರಿಂದ, ಕೋಡ್ ಎಕ್ಸಿಕ್ಯೂಶನ್ ದಾಳಿಗಳು ನೈಜ ವ್ಯವಸ್ಥೆಗಳಿಗೆ ಕಡಿಮೆ ಅನ್ವಯವನ್ನು ಹೊಂದಿರುತ್ತವೆ.
ಅದೇ ಸಮಯದಲ್ಲಿ, http ಸರ್ವರ್ ಚಾಲನೆಯಲ್ಲಿರುವ ಬಳಕೆದಾರರಿಂದ ಓದಬಹುದಾದ ಅನಿಯಂತ್ರಿತ ಸಿಸ್ಟಮ್ ಫೈಲ್ಗಳು ಮತ್ತು ವೆಬ್ ಸ್ಕ್ರಿಪ್ಟ್ಗಳ ಮೂಲ ಪಠ್ಯಗಳ ವಿಷಯಗಳನ್ನು ಪಡೆಯುವ ದಾಳಿಯು ಪ್ರಸ್ತುತವಾಗಿರುತ್ತದೆ. ಅಂತಹ ದಾಳಿಯನ್ನು ನಡೆಸಲು, "ಸಿಜಿ-ಬಿನ್" ನಂತಹ "ಅಲಿಯಾಸ್" ಅಥವಾ "ಸ್ಕ್ರಿಪ್ಟ್ಅಲಿಯಾಸ್" ನಿರ್ದೇಶನಗಳನ್ನು (ಡಾಕ್ಯುಮೆಂಟ್ ರೂಟ್ ಸಾಕಾಗುವುದಿಲ್ಲ) ಬಳಸಿಕೊಂಡು ಕಾನ್ಫಿಗರ್ ಮಾಡಿದ ಸೈಟ್ನಲ್ಲಿ ಡೈರೆಕ್ಟರಿಯನ್ನು ಹೊಂದಲು ಸಾಕು.
ಸರ್ವರ್ನಲ್ಲಿ “ಐಡಿ” ಉಪಯುಕ್ತತೆಯನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ನಿಮಗೆ ಅನುಮತಿಸುವ ಶೋಷಣೆಯ ಉದಾಹರಣೆ: ಕರ್ಲ್ 'http://192.168.0.1/cgi-bin/.%%32%65/.%%32%65/.%% 32%65/.%% 32%65/.%%32%65/bin/sh' —ಡೇಟಾ 'ಎಕೋ ಕಂಟೆಂಟ್-ಟೈಪ್: ಟೆಕ್ಸ್ಟ್/ಪ್ಲೇನ್; ಪ್ರತಿಧ್ವನಿ; id' uid=1(ಡೀಮನ್) gid=1(ಡೀಮನ್) ಗುಂಪುಗಳು=1(ಡೀಮನ್)
/etc/passwd ನ ವಿಷಯಗಳನ್ನು ಮತ್ತು ವೆಬ್ ಸ್ಕ್ರಿಪ್ಟ್ಗಳಲ್ಲಿ ಒಂದನ್ನು ಪ್ರದರ್ಶಿಸಲು ನಿಮಗೆ ಅನುಮತಿಸುವ ಶೋಷಣೆಗಳ ಉದಾಹರಣೆ (ಸ್ಕ್ರಿಪ್ಟ್ ಕೋಡ್ ಅನ್ನು ಔಟ್ಪುಟ್ ಮಾಡಲು, ಸ್ಕ್ರಿಪ್ಟ್ ಎಕ್ಸಿಕ್ಯೂಶನ್ ಅನ್ನು ಸಕ್ರಿಯಗೊಳಿಸದ "ಅಲಿಯಾಸ್" ನಿರ್ದೇಶನದ ಮೂಲಕ ವ್ಯಾಖ್ಯಾನಿಸಲಾದ ಡೈರೆಕ್ಟರಿಯನ್ನು ನಿರ್ದಿಷ್ಟಪಡಿಸಬೇಕು. ಮೂಲ ಡೈರೆಕ್ಟರಿಯಂತೆ): ಕರ್ಲ್ 'http://192.168.0.1 .32/cgi-bin/.%%65%32/.%%65%32/.%%65%32/.%%65%32/.% %65%192.168.0.1/etc/passwd' ಕರ್ಲ್ 'http: //32/aliaseddir/.%%65%32/.%%65%32/.%%65%32/.%%65%32/. %%65%2/usr/local/apacheXNUMX/cgi -bin/test.cgi'
ಸಮಸ್ಯೆಯು ಮುಖ್ಯವಾಗಿ Fedora, Arch Linux ಮತ್ತು Gentoo, ಹಾಗೆಯೇ FreeBSD ಯ ಪೋರ್ಟ್ಗಳಂತಹ ನಿರಂತರವಾಗಿ ನವೀಕರಿಸಿದ ವಿತರಣೆಗಳ ಮೇಲೆ ಪರಿಣಾಮ ಬೀರುತ್ತದೆ. ಕನ್ಸರ್ವೇಟಿವ್ ಸರ್ವರ್ ವಿತರಣೆಗಳ ಸ್ಥಿರ ಶಾಖೆಗಳಲ್ಲಿನ ಪ್ಯಾಕೇಜುಗಳು ಡೆಬಿಯನ್, RHEL, ಉಬುಂಟು ಮತ್ತು SUSE ದುರ್ಬಲತೆಯಿಂದ ಪ್ರಭಾವಿತವಾಗುವುದಿಲ್ಲ. "ಎಲ್ಲಾ ನಿರಾಕರಿಸಿದ ಅಗತ್ಯವಿದೆ" ಸೆಟ್ಟಿಂಗ್ ಅನ್ನು ಬಳಸಿಕೊಂಡು ಡೈರೆಕ್ಟರಿಗಳಿಗೆ ಪ್ರವೇಶವನ್ನು ಸ್ಪಷ್ಟವಾಗಿ ನಿರಾಕರಿಸಿದರೆ ಸಮಸ್ಯೆ ಉಂಟಾಗುವುದಿಲ್ಲ.
ಮೂಲ: opennet.ru