Op http-server (nhttpd) kwetsbaarheid
(CVE-2019-16278), waarmee een aanvaller op afstand code op de server kan uitvoeren door een speciaal vervaardigd HTTP-verzoek te verzenden. Het probleem wordt opgelost in de release (nog niet gepubliceerd). Afgaande op informatie van de Shodan-zoekmachine wordt de Nostromo http-server gebruikt op ongeveer 2000 publiek toegankelijke hosts.
Het beveiligingslek wordt veroorzaakt door een fout in de http_verify-functie, die toegang mist tot de inhoud van het bestandssysteem buiten de hoofdmap van de site door de reeks ".%0d./" in het pad door te geven. Het beveiligingslek treedt op omdat er een controle op de aanwezigheid van “../”-tekens wordt uitgevoerd voordat de padnormalisatiefunctie wordt uitgevoerd, waarbij nieuweregeltekens (%0d) uit de tekenreeks worden verwijderd.
Voor kwetsbaarheid kunt u toegang krijgen tot /bin/sh in plaats van een CGI-script en elke shell-constructie uitvoeren door een POST-verzoek te sturen naar de URI “/.%0d./.%0d./.%0d./.%0d./bin /sh " en geef de opdrachten door in de hoofdtekst van het verzoek. Interessant genoeg werd in 2011 al een soortgelijke kwetsbaarheid (CVE-2011-0751) opgelost in Nostromo, die een aanval mogelijk maakte door het verzoek “/..%2f..%2f..%2fbin/sh” te verzenden.
Bron: opennet.ru