Sukurtas skubus Apache 2.4.50 http serverio atnaujinimas, kuris pašalina jau aktyviai išnaudojamą 0 dienų pažeidžiamumą (CVE-2021-41773), leidžiantį pasiekti failus iš sričių, esančių už svetainės šakninio katalogo ribų. Naudojant pažeidžiamumą, galima atsisiųsti savavališkus sistemos failus ir žiniatinklio scenarijų šaltinio tekstus, kuriuos gali perskaityti vartotojas, kuriam veikia http serveris. Kūrėjai apie problemą buvo informuoti rugsėjo 17 d., tačiau naujinimą jie galėjo išleisti tik šiandien, po to, kai tinkle buvo užfiksuoti pažeidžiamumo atvejai, naudojami atakuojant svetaines.
Pažeidžiamumo pavojų mažina tai, kad problema atsiranda tik neseniai išleistoje 2.4.49 versijoje ir neturi įtakos visiems ankstesniems leidimams. Stabilios konservatyvių serverių paskirstymo šakos dar nenaudojo 2.4.49 versijos (Debian, RHEL, Ubuntu, SUSE), tačiau problema paveikė nuolat atnaujinamus platinimus, tokius kaip Fedora, Arch Linux ir Gentoo, taip pat FreeBSD prievadus.
Pažeidžiamumas atsirado dėl klaidos, įvestos perrašant URI kelių normalizavimo kodą, dėl kurio „%2e“ užkoduotas taško simbolis kelyje nebūtų normalizuotas, jei prieš jį būtų kitas taškas. Taigi gautame kelyje buvo galima pakeisti neapdorotus „../“ simbolius, užklausoje nurodant seką „.%2e/“. Pavyzdžiui, užklausa „https://example.com/cgi-bin/.%2e/.%2e/.%2e/.%2e/etc/passwd“ arba „https://example.com/cgi -bin /.%2e/%2e%2e/%2e%2e/%2e%2e/etc/hosts“ leido gauti failo „/etc/passwd“ turinį.
Problema nekyla, jei prieiga prie katalogų yra aiškiai uždrausta naudojant nustatymą „reikalauti, kad viskas būtų uždrausta“. Pavyzdžiui, dalinei apsaugai konfigūracijos faile galite nurodyti: reikalauti visi paneigti
Apache httpd 2.4.50 taip pat pataiso kitą pažeidžiamumą (CVE-2021-41524), turintį įtakos moduliui, įgyvendinančiam HTTP/2 protokolą. Pažeidžiamumas leido inicijuoti nulinės rodyklės nukrypimą siunčiant specialiai sukurtą užklausą ir sukelti proceso strigtį. Šis pažeidžiamumas taip pat atsiranda tik 2.4.49 versijoje. Kaip saugumo sprendimą galite išjungti HTTP/2 protokolo palaikymą.
Šaltinis: opennet.ru