Nisy fanavaozana maika ho an'ny mpizara http Apache 2.4.50, izay manafoana ny vulnerability 0 andro efa trandrahana mavitrika (CVE-2021-41773), izay mamela ny fidirana amin'ny rakitra avy amin'ny faritra ivelan'ny lahatahiry fakan'ny tranokala. Amin'ny fampiasana ny vulnerability, dia azo atao ny misintona rakitra rafitra tsy misy dikany sy lahatsoratra loharanon'ny script amin'ny tranonkala, azon'ny mpampiasa fehezin'ny mpizara http. Nampandrenesina momba ny olana ireo mpamorona tamin'ny 17 septambra, saingy afaka namoaka ny fanavaozana vao haingana, rehefa voarakitra tao amin'ny tambajotra ny trangan'ny vulnerable ampiasaina amin'ny fanafihana tranonkala.
Ny fanalefahana ny loza ateraky ny vulnerable dia ny olana dia miseho ao amin'ny version 2.4.49 vao navoaka vao haingana ary tsy misy fiantraikany amin'ny famoahana teo aloha rehetra. Tsy mbola nampiasa ny famoahana 2.4.49 (Debian, RHEL, Ubuntu, SUSE) ny sampana stable amin'ny fizarana mpizara mpandala ny nentin-drazana, fa ny olana dia nisy fiantraikany tamin'ny fizarana tsy tapaka toy ny Fedora, Arch Linux ary Gentoo, ary koa ny seranan-tsambon'ny FreeBSD.
Ny vulnerability dia noho ny bibikely nampidirina nandritra ny fanoratana indray ny kaody ho an'ny fandrindrana ny lalana ao amin'ny URIs, noho izany dia tsy ho ara-dalàna ny toetran'ny teboka misy "%2e" ao amin'ny lalana iray raha misy teboka hafa ialohavan'izany. Noho izany dia azo atao ny manolo ny tarehintsoratra manta "../" amin'ny lalan'ny vokatra amin'ny famaritana ny filaharana ".%2e/" ao amin'ny fangatahana. Ohatra, fangatahana toy ny “https://example.com/cgi-bin/.%2e/.%2e/.%2e/.%2e/etc/passwd” na “https://example.com/cgi -bin /.%2e/%2e%2e/%2e%2e/%2e%2e/etc/hosts" dia namela anao hahazo ny votoatin'ny rakitra "/etc/passwd".
Tsy mitranga ny olana raha lavina mazava ny fidirana amin'ny lahatahiry amin'ny alàlan'ny filaharana "mitaky ny nolavina rehetra". Ohatra, ho an'ny fiarovana amin'ny ampahany dia azonao atao ny mamaritra ao amin'ny fichier configuration: mitaky ny rehetra nolavina
Apache httpd 2.4.50 koa dia mamaha ny vulnerability hafa (CVE-2021-41524) misy fiantraikany amin'ny maody iray mampihatra ny protocol HTTP/2. Ny vulnerability dia nahatonga ny fanombohana ny fanondro tsy misy dikany amin'ny alàlan'ny fandefasana fangatahana noforonina manokana ary nahatonga ny fizotran'ny fianjerana. Ity vulnerability ity ihany koa dia hita ao amin'ny version 2.4.49. Amin'ny maha vahaolana fiarovana, azonao atao ny manafoana ny fanohanana ny protocol HTTP/2.
Source: opennet.ru