Foi criada uma atualização urgente para o servidor http Apache 2.4.50, que elimina uma vulnerabilidade de dia 0 já explorada ativamente (CVE-2021-41773), que permite o acesso a arquivos de áreas fora do diretório raiz do site. Usando a vulnerabilidade, é possível baixar arquivos de sistema arbitrários e textos fonte de scripts da web, legíveis pelo usuário sob o qual o servidor http está sendo executado. Os desenvolvedores foram notificados do problema no dia 17 de setembro, mas só conseguiram liberar a atualização hoje, após serem registrados na rede casos de uso da vulnerabilidade para atacar sites.
A mitigação do perigo da vulnerabilidade é que o problema aparece apenas na versão 2.4.49 lançada recentemente e não afeta todas as versões anteriores. As ramificações estáveis de distribuições de servidores conservadoras ainda não usaram a versão 2.4.49 (Debian, RHEL, Ubuntu, SUSE), mas o problema afetou distribuições continuamente atualizadas como Fedora, Arch Linux e Gentoo, bem como portas do FreeBSD.
A vulnerabilidade se deve a um bug introduzido durante uma reescrita do código para normalizar caminhos em URIs, devido ao qual um caractere de ponto codificado "%2e" em um caminho não seria normalizado se fosse precedido por outro ponto. Assim, foi possível substituir caracteres “../” brutos no caminho resultante especificando a sequência “.%2e/” na solicitação. Por exemplo, uma solicitação como “https://example.com/cgi-bin/.%2e/.%2e/.%2e/.%2e/etc/passwd” ou “https://example.com/cgi -bin /.%2e/%2e%2e/%2e%2e/%2e%2e/etc/hosts" permitiu que você obtivesse o conteúdo do arquivo "/etc/passwd".
O problema não ocorre se o acesso aos diretórios for negado explicitamente usando a configuração “exigir todos negados”. Por exemplo, para proteção parcial você pode especificar no arquivo de configuração: exigir tudo negado
Apache httpd 2.4.50 também corrige outra vulnerabilidade (CVE-2021-41524) que afeta um módulo que implementa o protocolo HTTP/2. A vulnerabilidade tornou possível iniciar a desreferência de ponteiro nulo enviando uma solicitação especialmente criada e causando a falha do processo. Esta vulnerabilidade também aparece apenas na versão 2.4.49. Como solução alternativa de segurança, você pode desabilitar o suporte ao protocolo HTTP/2.
Fonte: opennet.ru