Er is een dringende update voor de Apache 2.4.50 http-server gemaakt, die een reeds actief misbruikte 0-day kwetsbaarheid (CVE-2021-41773) elimineert, die toegang geeft tot bestanden vanuit gebieden buiten de hoofdmap van de site. Door de kwetsbaarheid is het mogelijk om willekeurige systeembestanden en bronteksten van webscripts te downloaden, leesbaar voor de gebruiker onder wie de http-server draait. De ontwikkelaars werden op 17 september op de hoogte gebracht van het probleem, maar konden de update pas vandaag vrijgeven, nadat gevallen van de kwetsbaarheid die werd gebruikt om websites aan te vallen, op het netwerk waren geregistreerd.
Het gevaar van de kwetsbaarheid wordt verkleind door het feit dat het probleem alleen in de onlangs uitgebrachte versie 2.4.49 voorkomt en niet op alle eerdere releases van invloed is. De stabiele takken van conservatieve serverdistributies hebben release 2.4.49 (Debian, RHEL, Ubuntu, SUSE) nog niet gebruikt, maar het probleem trof continu bijgewerkte distributies zoals Fedora, Arch Linux en Gentoo, evenals poorten van FreeBSD.
Het beveiligingslek is te wijten aan een bug die is geïntroduceerd tijdens het herschrijven van de code voor het normaliseren van paden in URI's, waardoor een met "%2e" gecodeerd puntteken in een pad niet zou worden genormaliseerd als het werd voorafgegaan door een ander punt. Het was dus mogelijk om onbewerkte “../”-tekens in het resulterende pad te vervangen door de reeks “.%2e/” in het verzoek op te geven. Bijvoorbeeld een verzoek als 'https://example.com/cgi-bin/.%2e/.%2e/.%2e/.%2e/etc/passwd' of 'https://example.com/cgi -bin /.%2e/%2e%2e/%2e%2e/%2e%2e/etc/hosts" zorgt ervoor dat u de inhoud van het bestand "/etc/passwd" kunt ophalen.
Het probleem treedt niet op als de toegang tot mappen expliciet wordt geweigerd met behulp van de instelling 'alles geweigerd'. Voor gedeeltelijke bescherming kunt u bijvoorbeeld in het configuratiebestand opgeven: eisen dat alles wordt afgewezen
Apache httpd 2.4.50 repareert ook een andere kwetsbaarheid (CVE-2021-41524) die een module treft die het HTTP/2-protocol implementeert. Het beveiligingslek maakte het mogelijk om null pointer-dereferentie te initiëren door een speciaal vervaardigd verzoek te verzenden, waardoor het proces crashte. Deze kwetsbaarheid komt ook alleen voor in versie 2.4.49. Als beveiligingsoplossing kunt u de ondersteuning voor het HTTP/2-protocol uitschakelen.
Bron: opennet.ru