A fost creată o actualizare urgentă a serverului http Apache 2.4.50, care elimină o vulnerabilitate de 0 zile deja exploatată activ (CVE-2021-41773), care permite accesul la fișiere din zone din afara directorului rădăcină al site-ului. Folosind vulnerabilitatea, este posibil să descărcați fișiere de sistem arbitrare și texte sursă ale scripturilor web, care pot fi citite de utilizatorul sub care rulează serverul http. Dezvoltatorii au fost anunțați despre problemă pe 17 septembrie, dar au putut lansa actualizarea abia astăzi, după ce în rețea au fost înregistrate cazuri de vulnerabilitate folosită pentru a ataca site-uri web.
Atenuarea pericolului vulnerabilității este că problema apare doar în versiunea recent lansată 2.4.49 și nu afectează toate versiunile anterioare. Ramurile stabile ale distribuțiilor de server conservatoare nu au folosit încă versiunea 2.4.49 (Debian, RHEL, Ubuntu, SUSE), dar problema a afectat distribuțiile actualizate continuu precum Fedora, Arch Linux și Gentoo, precum și porturile FreeBSD.
Vulnerabilitatea se datorează unei erori introduse în timpul unei rescrieri a codului pentru normalizarea căilor în URI-uri, din cauza căreia un caracter punct codificat „%2e” într-o cale nu ar fi normalizat dacă ar fi precedat de un alt punct. Astfel, a fost posibilă înlocuirea caracterelor brute „../” în calea rezultată prin specificarea secvenței „.%2e/” în cerere. De exemplu, o solicitare precum „https://example.com/cgi-bin/.%2e/.%2e/.%2e/.%2e/etc/passwd” sau „https://example.com/cgi -bin /.%2e/%2e%2e/%2e%2e/%2e%2e/etc/hosts" v-a permis să obțineți conținutul fișierului "/etc/passwd".
Problema nu apare dacă accesul la directoare este refuzat în mod explicit folosind setarea „require all denied”. De exemplu, pentru protecție parțială puteți specifica în fișierul de configurare: cere toate refuzate
Apache httpd 2.4.50 remediază și o altă vulnerabilitate (CVE-2021-41524) care afectează un modul care implementează protocolul HTTP/2. Vulnerabilitatea a făcut posibilă inițierea dereferinței pointerului nul prin trimiterea unei cereri special concepute și să provoace blocarea procesului. Această vulnerabilitate apare și numai în versiunea 2.4.49. Ca o soluție de securitate, puteți dezactiva suportul pentru protocolul HTTP/2.
Sursa: opennet.ru