Instab vettur ta 'attakk ġdid għas-server Apache http, li baqa' mhux ikkoreġut fl-aġġornament 2.4.50 u jippermetti aċċess għal fajls minn żoni barra mid-direttorju tal-għeruq tas-sit. Barra minn hekk, ir-riċerkaturi sabu metodu li jippermetti, fil-preżenza ta 'ċerti settings mhux standard, mhux biss li jaqraw fajls tas-sistema, iżda wkoll li jeżegwixxi l-kodiċi tagħhom mill-bogħod fuq is-server. Il-problema tidher biss fir-rilaxxi 2.4.49 u 2.4.50; verżjonijiet preċedenti mhumiex affettwati. Biex tiġi eliminata l-vulnerabbiltà l-ġdida, Apache httpd 2.4.51 ġie rilaxxat malajr.
По своей сути новая проблема (CVE-2021-42013) полностью аналогична изначальной уязвимости (CVE-2021-41773) в 2.4.49, разница лишь в иной кодировке символов «..». В частности, в выпуске 2.4.50 была заблокирована возможность использования последовательности «%2e» для кодирования точки, но упущена возможность двойного кодирования — при указании последовательности «%%32%65» server декодировал её в «%2e», а затем в «.», т.е. символы «../» для перехода в предыдущий каталог можно было закодировать как «.%%32%65/».
Fir-rigward tal-isfruttament tal-vulnerabbiltà permezz tal-eżekuzzjoni tal-kodiċi, dan huwa possibbli meta mod_cgi huwa attivat u l-mogħdija bażi hija użata li fiha l-eżekuzzjoni ta 'skripts CGI hija permessa (per eżempju, jekk id-direttiva ScriptAlias hija attivata jew il-bandiera ExecCGI hija speċifikata fil- direttiva dwar l-għażliet). Rekwiżit obbligatorju għal attakk ta 'suċċess huwa wkoll li jipprovdi aċċess espliċitament għal direttorji b'fajls eżekutibbli, bħal / bin, jew aċċess għall-għerq tas-sistema tal-fajls "/" fis-settings Apache. Peress li tali aċċess ma jingħatax tipikament, l-attakki tal-eżekuzzjoni tal-kodiċi għandhom ftit applikazzjoni għal sistemi reali.
Fl-istess ħin, l-attakk biex jinkiseb il-kontenut ta 'fajls tas-sistema arbitrarji u testi sors ta' skripts tal-web, li jinqraw mill-utent li taħtu qed jaħdem is-server http, jibqa 'rilevanti. Biex twettaq attakk bħal dan, huwa biżżejjed li jkun hemm direttorju fuq is-sit ikkonfigurat bl-użu tad-direttivi "Alias" jew "ScriptAlias" (DocumentRoot mhuwiex biżżejjed), bħal "cgi-bin".
Eżempju ta' sfruttament li jippermettilek tesegwixxi l-utilità "id" fuq server: curl 'http://192.168.0.1/cgi-bin/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/bin/sh' —data 'echo Tip ta' Kontenut: test/plain; echo; id' uid=1(daemon) gid=1(daemon) gruppi=1(daemon)
Eżempju ta' sfruttamenti li jippermettilek turi l-kontenut ta' /etc/passwd u waħda mill-iskripts tal-web (biex joħroġ il-kodiċi tal-iskript, id-direttorju definit permezz tad-direttiva "Alias", li għaliha l-eżekuzzjoni tal-iskript mhix attivata, għandu jiġi speċifikat bħala d-direttorju bażi): curl 'http://192.168.0.1 .32/cgi-bin/.%%65%32/.%%65%32/.%%65%32/.%%65%32/.% %65%192.168.0.1/etc/passwd' curl 'http: //32/aliaseddir/.%%65%32/.%%65%32/.%%65%32/.%%65%32/. %%65%2/usr/local/apacheXNUMX/cgi -bin/test.cgi'
Il-kwistjoni taffettwa l-aktar distribuzzjonijiet aġġornati kontinwament bħal Fedora, Arch Linux u Gentoo, kif ukoll portijiet ta' FreeBSD. Pakketti fil-fergħat stabbli ta' distribuzzjonijiet ta' servers konservattivi Debian, RHEL, Ubuntu u SUSE mhumiex vulnerabbli. Il-problema ma sseħħx jekk l-aċċess għad-direttorji jiġi miċħud espliċitament bl-użu tas-setting "require all denegated".
Sors: opennet.ru
