En neien Attackvektor gouf fir den Apache http-Server fonnt, deen am Update 2.4.50 onkorrigéiert bliwwen ass an Zougang zu Dateien aus Gebidder ausserhalb vum Root-Verzeichnis vum Site erlaabt. Zousätzlech hunn d'Fuerscher eng Method fonnt, déi et erlaabt, a Präsenz vu bestëmmten net-Standard-Astellungen, net nëmme Systemdateien ze liesen, awer och hir Code op de Server op afstand auszeféieren. De Problem erschéngt nëmmen a Verëffentlechungen 2.4.49 an 2.4.50; fréier Versioune sinn net betraff. Fir déi nei Schwachstelle ze eliminéieren, gouf Apache httpd 2.4.51 séier verëffentlecht.
Am Kär ass den neie Problem (CVE-2021-42013) komplett ähnlech wéi déi ursprénglech Schwachstelle (CVE-2021-41773) am 2.4.49, deen eenzegen Ënnerscheed ass eng aner Kodéierung vun den ".." Zeechen. Besonnesch an der Verëffentlechung 2.4.50 war d'Fäegkeet fir d'Sequenz "% 2e" ze benotzen fir e Punkt ze codéieren blockéiert, awer d'Méiglechkeet vun Duebelkodéierung gouf verpasst - wann Dir d'Sequenz "%%32%65" spezifizéiert huet, huet de Server se decodéiert an "% 2e" an dann an " .", d.h. d'Zeechen "../" fir an de fréiere Verzeechnes ze goen kéinten als ".%%32%65/" codéiert ginn.
Wat d'Ausbeutung vun der Schwachstelle duerch Code Ausféierung ugeet, ass dëst méiglech wann mod_cgi ageschalt ass an de Basiswee benotzt gëtt an deem d'Ausféierung vun CGI Scripten erlaabt ass (zum Beispill wann d'ScriptAlias Direktiv aktivéiert ass oder den ExecCGI Fändel an der spezifizéierter Optiounsdirektiv). Eng obligatoresch Fuerderung fir en erfollegräichen Attack ass och explizit Zougang zu Verzeichnisser mat ausführbare Dateien, wéi / bin, oder Zougang zum Dateisystem root "/" an den Apache Astellungen. Zënter sougenannten Zougang net typesch gëtt, hunn Code Ausféierung Attacke wéineg Uwendung op real Systemer.
Zur selwechter Zäit bleift d'Attack fir den Inhalt vun arbiträre Systemdateien a Quelltexter vu Webskripter ze kréien, liesbar vum Benotzer ënner deem den http Server leeft, bleift relevant. Fir esou en Attack auszeféieren, ass et genuch fir e Verzeechnes um Site ze konfiguréieren mat den "Alias" oder "ScriptAlias" Direktiven (DocumentRoot ass net genuch), wéi "cgi-bin".
E Beispill vun engem Exploit deen Iech erlaabt den "id" Utility um Server auszeféieren: curl 'http://192.168.0.1/cgi-bin/.%%32%65/.%%32%65/.%% 32%65/.%% 32%65/.%%32%65/bin/sh' —data 'echo Content-Type: text/plain; echo; id' uid=1(Daemon) gid=1(Daemon) Groups=1(Daemon)
E Beispill vun Ausnotzen, déi Iech erlaabt den Inhalt vun /etc/passwd an ee vun de Web Scripten ze weisen (fir de Skriptcode auszeginn, muss de Verzeechnes definéiert duerch d'Alias Direktiv, fir déi d'Skriptausféierung net aktivéiert ass, spezifizéiert ginn als Basisverzeechnes): curl 'http://192.168.0.1 .32/cgi-bin/.%%65%32/.%%65%32/.%%65%32/.%%65%32/.% %65%192.168.0.1/etc/passwd' curl 'http: //32/aliaseddir/.%%65%32/.%%65%32/.%%65%32/.%%65%32/. %%65%2/usr/local/apacheXNUMX/cgi -bin/test.cgi'
De Problem beaflosst haaptsächlech kontinuéierlech aktualiséiert Verdeelungen wéi Fedora, Arch Linux a Gentoo, souwéi Ports vu FreeBSD. Packagen an de stabile Branchen vun de konservativen Serververdeelungen Debian, RHEL, Ubuntu an SUSE sinn net vun der Schwachstelle beaflosst. De Problem geschitt net wann den Zougang zu Verzeichnisser explizit verweigert gëtt mat der Astellung "All refuséiert erfuerderen".
Source: opennet.ru