Kua hangahia he whakahou ohorere ki te Apache 2.4.50 http tūmau, e whakakore ana i te whakaraeraetanga 0-ra kua tino whakamahia (CVE-2021-41773), e taea ai te uru atu ki nga konae mai i nga waahi kei waho o te raarangi pakiaka o te papanga. Ma te whakamahi i te whakaraeraetanga, ka taea te tango i nga konae punaha me nga tuhinga puna o nga tuhinga tukutuku, ka taea te panui e te kaiwhakamahi kei raro nei te tūmau http e whakahaere ana. I whakamohiotia nga kaihanga mo te raruraru i te Mahuru 17, engari i taea te tuku i te whakahou i tenei ra anake, i muri i nga take o te whakaraerae e whakamahia ana ki te whakaeke i nga paetukutuku i tuhia ki te whatunga.
Ko te whakaiti i te kino o te whakaraeraetanga ko te raru ka puta noa i te putanga 2.4.49 i tukuna tata nei, kaore e pa ki nga putanga o mua. Ko nga manga pumau o nga tohatoha tūmau tuuturu kaore ano kia whakamahia te tuku 2.4.49 (Debian, RHEL, Ubuntu, SUSE), engari i pa te raru ki nga tohatoha whakahou tonu penei i a Fedora, Arch Linux me Gentoo, me nga tauranga o FreeBSD.
Ko te whakaraeraetanga na tetahi pepeha i whakaurua mai i te wa o te tuhi ano i te waehere mo te whakatikatika i nga ara i roto i nga URI, na te mea ko te "%2e" te tohu ira kua whakawaeheretia i roto i tetahi ara e kore e whakatauritea mena i mua i tetahi atu ira. No reira, i taea te whakakapi i nga tohu "../" mata ki te ara hua ma te tohu i te raupapa ".%2e/" i roto i te tono. Hei tauira, he tono penei “https://example.com/cgi-bin/.%2e/.%2e/.%2e/.%2e/etc/passwd” ranei “https://example.com/cgi -bin /.%2e/%2e%2e/%2e%2e/%2e%2e/etc/hosts" i taea e koe te tiki i nga ihirangi o te konae "/etc/passwd".
Kaore e puta te raru mena ka whakakorehia te urunga ki nga raarangi ma te whakamahi i te tautuhinga "hiahia kia whakakahoretia katoa". Hei tauira, mo te whakamarutanga wahanga ka taea e koe te tohu ki te konae whirihoranga: hiahia kia whakakahoretia katoa
Ka whakatika ano a Apache httpd 2.4.50 i tetahi atu whakaraeraetanga (CVE-2021-41524) e pa ana ki tetahi kōwae e whakatinana ana i te kawa HTTP/2. Na te whakaraeraetanga i taea ai te timata i te whakakore i te tohu tohu kore ma te tuku tono i hangaia motuhake me te pakaru i te tukanga. Ka puta ano tenei whakaraeraetanga ki te putanga 2.4.49 anake. Hei mahi haumaru, ka taea e koe te whakakore i te tautoko mo te kawa HTTP/2.
Source: opennet.ru