Urgente renovatio Apache 2.4.50 http server creata est, quae iam actuosam vulnerabilitatem 0-day eliminat (CVE-2021-41773), quae aditum ad lima ex areis extra situs directorii radicis concedit. Utens vulnerabilitate, possibilis est arbitrariam limam ratiocinandi et fontes scripturarum textus, legendi utentis sub quo currit http server. Tincimenta de problemate die 17 Septembris notificabantur, sed renovationem tantum hodie dimittere poterant, postquam casus vulnerabilitas in retiaculis oppugnandis adhibita erant.
Periculum vulnerabilitatis mitigans est quod problema tantum in recenti versione 2.4.49 emissum apparet et omnes ante emissiones non afficit. Rami stabiles distributionum servo conservativae nondum 2.4.49 emissione usi sunt (Debian, REL, Ubuntu, SUSE), sed quaestio continue renovata distributiones afficiebat ut Fedora, Arch Linux et Gentoo, necnon portus FreeBSD.
Vulnerabilitas debetur cimex introducto in rescribe codicis ad semitas in URIs normalizandas, ob quas character "%2e" in viae dotalia notificata non normalizari debet si antecedit ab alio puncto. Itaque rudis "../" characteres in viam inde resultantem substituere potuit, in instantia ".%2e/" denotans. Exempli gratia, petitio sicut "https://example.com/cgi-bin/.%2e/.%2e/.%2e/.%2e/etc/passwd" vel "https://example.com/cgi -bin /.%2e/%2e%2e/%2e%2e/%2e%2e/etc/hostes" permisit tibi documenti contenta "/etc/passwd" obtinere.
Quaestio non occurrit si accessus ad directoria explicite negatur utendo "omne negatum requirere" occasum. Exempli gratia, pro tutela partiali in lima configuration potes definire: requirere omnia negavit
Apache httpd 2.4.50 etiam aliam vulnerabilitatem constituit (CVE-2021-41524) afficiens moduli ad effectum deducendi protocollum HTTP/2. Vulnerabilitas effecit ut nullum monstratorem dereferentia inchoaret mittendo petitionem specialiter fictitam et processum ad fragorem causandum. Haec vulnerabilitas etiam tantum in versione 2.4.49 apparet. Pro securitate quam habemus, inactivare subsidium protocollo HTTP/2 potes.
Source: opennet.ru