Ir izveidots steidzams Apache 2.4.50 http servera atjauninājums, kas novērš jau aktīvi izmantoto 0 dienu ievainojamību (CVE-2021-41773), kas ļauj piekļūt failiem no apgabaliem ārpus vietnes saknes direktorija. Izmantojot ievainojamību, ir iespējams lejupielādēt patvaļīgus sistēmas failus un tīmekļa skriptu avota tekstus, kurus var lasīt lietotājs, zem kura darbojas http serveris. Izstrādātāji par problēmu tika informēti 17. septembrī, taču atjauninājumu varēja izlaist tikai šodien, pēc tam, kad tīklā tika reģistrēti gadījumi, kad ievainojamība tika izmantota, lai uzbruktu vietnēm.
Ievainojamības risku mazina tas, ka problēma parādās tikai nesen izlaistajā versijā 2.4.49 un neietekmē visus iepriekšējos laidienus. Konservatīvo serveru distribūciju stabilās filiāles vēl nav izmantojušas 2.4.49 versiju (Debian, RHEL, Ubuntu, SUSE), taču problēma skāra pastāvīgi atjauninātos izplatījumus, piemēram, Fedora, Arch Linux un Gentoo, kā arī FreeBSD portus.
Ievainojamība ir radusies kļūdas dēļ, kas tika ieviesta URI ceļu normalizēšanas koda pārrakstīšanas laikā, kuras dēļ "%2e" kodēta punkta rakstzīme ceļā netiktu normalizēta, ja pirms tās būtu cits punkts. Tādējādi iegūtajā ceļā bija iespējams aizstāt neapstrādātas “../” rakstzīmes, pieprasījumā norādot secību “.%2e/”. Piemēram, pieprasījums “https://example.com/cgi-bin/.%2e/.%2e/.%2e/.%2e/etc/passwd” vai “https://example.com/cgi -bin /.%2e/%2e%2e/%2e%2e/%2e%2e/etc/hosts" ļāva iegūt faila "/etc/passwd" saturu.
Problēma nerodas, ja piekļuve direktorijiem ir skaidri liegta, izmantojot iestatījumu “Require all denied”. Piemēram, daļējai aizsardzībai konfigurācijas failā varat norādīt: pieprasīt visu liegta
Apache httpd 2.4.50 arī novērš citu ievainojamību (CVE-2021-41524), kas ietekmē moduli, kas ievieš HTTP/2 protokolu. Ievainojamība ļāva uzsākt nulles rādītāja novirzīšanu, nosūtot īpaši izstrādātu pieprasījumu, un izraisīt procesa avāriju. Šī ievainojamība parādās tikai versijā 2.4.49. Kā drošības risinājumu varat atspējot HTTP/2 protokola atbalstu.
Avots: opennet.ru