Mu seva ya http (nhttpd) kusatetezeka
(CVE-2019-16278), yomwe imalola woukira kuti apereke khodi pa seva potumiza pempho la HTTP lopangidwa mwapadera. Nkhaniyi idzathetsedwa pakumasulidwa (sanasindikizidwebe). Potengera chidziwitso chochokera ku injini yosakira ya Shodan, seva ya Nostromo http imagwiritsidwa ntchito pafupifupi 2000 omwe akupezeka pagulu.
Chiwopsezochi chimadza chifukwa cha cholakwika mu ntchito ya http_verify, yomwe imaphonya mwayi wopeza zomwe zili m'mafayilo kunja kwa chikwatu cha tsambalo podutsa ".%0d./" panjira. Chiwopsezochi chimachitika chifukwa cheke cha kukhalapo kwa zilembo za "../" chimachitidwa ntchito yokhazikika ya njira isanakhazikitsidwe, pomwe zilembo zatsopano (%0d) zimachotsedwa pachingwe.
chifukwa kukhala pachiwopsezo, mutha kulowa /bin/sh m'malo mwa CGI script ndi kupanga chipolopolo chilichonse potumiza pempho la POST ku URI β/.%0d./.%0d./.%0d./.%0d./bin /sh" ndikupereka malamulo muzopemphazo. Chochititsa chidwi n'chakuti, mu 2011, chiopsezo chofanana (CVE-2011-0751) chinakhazikitsidwa kale ku Nostromo, chomwe chinalola kuukira potumiza pempho "/..%2f..%2f..%2fbin / sh".
Source: opennet.ru