Eng dréngend Aktualiséierung vum Apache 2.4.50 http Server gouf erstallt, deen eng scho aktiv exploitéiert 0-Deeg Schwachstelle eliminéiert (CVE-2021-41773), déi Zougang zu Dateien aus Gebidder ausserhalb vum Root Verzeechnes vum Site erlaabt. Mat Hëllef vun der Schwachstelle ass et méiglech arbiträr Systemdateien a Quelltexter vu Webskripten erofzelueden, liesbar vum Benotzer ënner deem den http Server leeft. D'Entwéckler goufen de 17. September iwwer de Problem informéiert, awer konnten d'Aktualiséierung eréischt haut verëffentlechen, nodeems Fäll vun der Schwachstelle benotzt fir Websäiten ze attackéieren am Netz opgeholl goufen.
D'Gefor vun der Schwachstelle reduzéieren ass datt de Problem nëmmen an der kierzlech verëffentlechter Versioun 2.4.49 erschéngt an net all fréier Verëffentlechungen beaflosst. Déi stabil Filialen vu konservativen Serververdeelungen hunn d'2.4.49 Verëffentlechung nach net benotzt (Debian, RHEL, Ubuntu, SUSE), awer de Problem beaflosst kontinuéierlech aktualiséiert Verdeelungen wéi Fedora, Arch Linux a Gentoo, souwéi Ports vu FreeBSD.
D'Schwachheet ass wéinst engem Käfer, dee während enger Iwwerschreiwe vum Code agefouert gëtt fir Weeër an URIs ze normaliséieren, wéinst deem e "%2e" encodéierten Punkt Charakter an engem Wee net normaliséiert wier wann et vun engem anere Punkt virausgesat gëtt. Sou war et méiglech, rau "../" Zeeche an de resultéierende Wee z'ersetzen andeems Dir d'Sequenz ".%2e/" an der Ufro spezifizéiert. Zum Beispill eng Ufro wéi "https://example.com/cgi-bin/.%2e/.%2e/.%2e/.%2e/etc/passwd" oder "https://example.com/cgi" -bin /.%2e/%2e%2e/%2e%2e/%2e%2e/etc/hosts" erlaabt Iech den Inhalt vun der Datei "/etc/passwd" ze kréien.
De Problem geschitt net wann den Zougang zu Verzeichnisser explizit verweigert gëtt mat der Astellung "All refuséiert erfuerderen". Zum Beispill, fir deelweis Schutz kënnt Dir an der Konfiguratiounsdatei uginn: verlaangen all dementéiert
Apache httpd 2.4.50 fixéiert och eng aner Schwachstelle (CVE-2021-41524) déi e Modul beaflosst deen den HTTP/2 Protokoll implementéiert. D'Schwachheet huet et méiglech gemaach Null Pointer Dereference ze initiéieren andeems Dir eng speziell erstallt Ufro geschéckt huet an de Prozess erofgefall. Dës Schwachstelle erschéngt och nëmmen an der Versioun 2.4.49. Als Sécherheetsléisung kënnt Dir Ënnerstëtzung fir den HTTP/2 Protokoll deaktivéieren.
Source: opennet.ru