En hasteoppdatering til Apache 2.4.50 http-serveren er opprettet, som eliminerer en allerede aktivt utnyttet 0-dagers sårbarhet (CVE-2021-41773), som gir tilgang til filer fra områder utenfor nettstedets rotkatalog. Ved å bruke sårbarheten er det mulig å laste ned vilkårlige systemfiler og kildetekster til webskript, lesbare av brukeren som http-serveren kjører under. Utviklerne ble varslet om problemet 17. september, men kunne gi ut oppdateringen først i dag, etter at tilfeller av sårbarheten som ble brukt til å angripe nettsteder ble registrert på nettverket.
Å redusere faren for sårbarheten er at problemet bare vises i den nylig utgitte versjonen 2.4.49 og ikke påvirker alle tidligere utgivelser. De stabile grenene av konservative serverdistribusjoner har ennå ikke brukt 2.4.49-utgivelsen (Debian, RHEL, Ubuntu, SUSE), men problemet påvirket kontinuerlig oppdaterte distribusjoner som Fedora, Arch Linux og Gentoo, samt porter av FreeBSD.
Sårbarheten skyldes en feil som ble introdusert under en omskriving av koden for normalisering av baner i URIer, på grunn av hvilken et "%2e"-kodet punkttegn i en bane ikke ville blitt normalisert hvis det ble innledet av en annen prikk. Dermed var det mulig å erstatte rå "../"-tegn i den resulterende banen ved å spesifisere sekvensen ".%2e/" i forespørselen. For eksempel en forespørsel som "https://example.com/cgi-bin/.%2e/.%2e/.%2e/.%2e/etc/passwd" eller "https://example.com/cgi" -bin /.%2e/%2e%2e/%2e%2e/%2e%2e/etc/hosts" tillot deg å hente innholdet i filen "/etc/passwd".
Problemet oppstår ikke hvis tilgang til kataloger er eksplisitt nektet ved å bruke innstillingen "require all denied". For delvis beskyttelse kan du for eksempel spesifisere i konfigurasjonsfilen: krever alle nektet
Apache httpd 2.4.50 fikser også en annen sårbarhet (CVE-2021-41524) som påvirker en modul som implementerer HTTP/2-protokollen. Sårbarheten gjorde det mulig å starte null-peker-dereference ved å sende en spesiallaget forespørsel og få prosessen til å krasje. Dette sikkerhetsproblemet vises også bare i versjon 2.4.49. Som en sikkerhetsløsning kan du deaktivere støtte for HTTP/2-protokollen.
Kilde: opennet.ru