വിദൂര കോഡ് നിർവ്വഹണത്തിലേക്ക് നയിക്കുന്ന നോസ്ട്രോമോ http സെർവറിലെ കേടുപാടുകൾ

http സെർവറിൽ നോസ്ട്രോമോ (nhttpd) തിരിച്ചറിഞ്ഞു ദുർബലത
(CVE-2019-16278), പ്രത്യേകമായി തയ്യാറാക്കിയ HTTP അഭ്യർത്ഥന അയച്ചുകൊണ്ട് സെർവറിൽ വിദൂരമായി കോഡ് എക്സിക്യൂട്ട് ചെയ്യാൻ ആക്രമണകാരിയെ അനുവദിക്കുന്നു. റിലീസിൽ പ്രശ്നം പരിഹരിക്കും 1.9.7 (ഇതുവരെ പ്രസിദ്ധീകരിച്ചിട്ടില്ല). ഷോഡാൻ സെർച്ച് എഞ്ചിനിൽ നിന്നുള്ള വിവരമനുസരിച്ച്, നോസ്ട്രോമോ http സെർവർ ഏകദേശം 2000 പൊതുവായി ആക്സസ് ചെയ്യാവുന്ന ഹോസ്റ്റുകളിൽ ഉപയോഗിക്കുന്നു.

http_verify ഫംഗ്‌ഷനിലെ ഒരു പിശക് മൂലമാണ് ഈ കേടുപാടുകൾ സംഭവിക്കുന്നത്, ഇത് പാതയിൽ ".%0d./" എന്ന ക്രമം കടക്കുന്നതിലൂടെ സൈറ്റിൻ്റെ റൂട്ട് ഡയറക്‌ടറിക്ക് പുറത്തുള്ള ഫയൽ സിസ്റ്റം ഉള്ളടക്കങ്ങളിലേക്കുള്ള ആക്‌സസ് നഷ്‌ടമാകുന്നു. പാത്ത് നോർമലൈസേഷൻ ഫംഗ്‌ഷൻ എക്‌സിക്യൂട്ട് ചെയ്യുന്നതിന് മുമ്പ് “../” പ്രതീകങ്ങളുടെ സാന്നിധ്യം പരിശോധിക്കുന്നതിനാലാണ് ഈ അപകടസാധ്യത സംഭവിക്കുന്നത്, അതിൽ പുതിയ ലൈൻ പ്രതീകങ്ങൾ (%0d) സ്‌ട്രിംഗിൽ നിന്ന് നീക്കം ചെയ്യപ്പെടും.

വേണ്ടി ചൂഷണം അപകടസാധ്യത, നിങ്ങൾക്ക് ഒരു CGI സ്ക്രിപ്റ്റിന് പകരം /bin/sh ആക്സസ് ചെയ്യാനും URI "/.%0d./.%0d./.%0d./.%0d./bin-ലേക്ക് ഒരു POST അഭ്യർത്ഥന അയച്ചുകൊണ്ട് ഏത് ഷെൽ നിർമ്മാണവും നടപ്പിലാക്കാനും കഴിയും. / sh " കൂടാതെ അഭ്യർത്ഥനയുടെ ബോഡിയിൽ കമാൻഡുകൾ കൈമാറുന്നു. രസകരമെന്നു പറയട്ടെ, 2011-ൽ സമാനമായ ഒരു അപകടസാധ്യത (CVE-2011-0751) ഇതിനകം തന്നെ നോസ്‌ട്രോമോയിൽ പരിഹരിച്ചു, അത് “/..%2f..%2f..%2fbin/sh” എന്ന അഭ്യർത്ഥന അയച്ച് ആക്രമണം അനുവദിച്ചു.

അവലംബം: opennet.ru