Apache 2.4.50 http සේවාදායකය වෙත හදිසි යාවත්කාලීනයක් නිර්මාණය කර ඇත, එය දැනටමත් සක්රියව සූරාකන ලද දින 0 අවදානම (CVE-2021-41773) ඉවත් කරයි, එමඟින් වෙබ් අඩවියේ මූල නාමාවලියෙන් පිටත ප්රදේශවලින් ගොනු වෙත ප්රවේශ වීමට ඉඩ සලසයි. අනාරක්ෂිත බව භාවිතා කරමින්, http සේවාදායකය ක්රියාත්මක වන පරිශීලකයාට කියවිය හැකි, අත්තනෝමතික පද්ධති ගොනු සහ වෙබ් ස්ක්රිප්ට් වල මූලාශ්ර පාඨ බාගත කළ හැක. සැප්තැම්බර් 17 වන දින සංවර්ධකයින්ට ගැටලුව පිළිබඳව දැනුම් දෙන ලද නමුත් යාවත්කාලීනය නිකුත් කිරීමට හැකි වූයේ අද දින පමණි, වෙබ් අඩවි වලට පහර දීමට භාවිතා කරන අවදානම් අවස්ථා ජාලයේ වාර්තා කිරීමෙන් පසුව.
අවදානමේ අන්තරාය අවම කිරීම නම් ගැටළුව දිස්වන්නේ මෑතකදී නිකුත් කරන ලද 2.4.49 අනුවාදයේ පමණක් වන අතර පෙර නිකුත් කිරීම් සියල්ලටම බලපාන්නේ නැත. ගතානුගතික සේවාදායක බෙදාහැරීම්වල ස්ථායී ශාඛා තවමත් 2.4.49 නිකුතුව (Debian, RHEL, Ubuntu, SUSE) භාවිතා කර නැත, නමුත් ගැටළුව Fedora, Arch Linux සහ Gentoo වැනි අඛණ්ඩව යාවත්කාලීන කරන ලද බෙදාහැරීම්වලට මෙන්ම FreeBSD වරායන්ටද බලපෑවේය.
URI වල මාර්ග සාමාන්යකරණය කිරීම සඳහා කේතය නැවත ලිවීමේදී හඳුන්වා දුන් දෝෂයක් හේතුවෙන් මෙම අවදානම ඇති වේ, එම නිසා මාර්ගයක "%2e" කේතනය කරන ලද තිත් අක්ෂරයක් වෙනත් තිතකින් පෙර නම් සාමාන්යකරණය නොවේ. මේ අනුව, ඉල්ලීමෙහි ".%2e/" අනුක්රමය නියම කිරීමෙන් ලැබෙන මාර්ගයට අමු “../” අක්ෂර ආදේශ කිරීමට හැකි විය. උදාහරණයක් ලෙස, "https://example.com/cgi-bin/.%2e/.%2e/.%2e/.%2e/etc/passwd" හෝ "https://example.com/cgi වැනි ඉල්ලීමක් -bin /.%2e/%2e%2e/%2e%2e/%2e%2e/etc/hosts" ඔබට "/etc/passwd" ගොනුවේ අන්තර්ගතය ලබා ගැනීමට ඉඩ දී ඇත.
"සියල්ල ප්රතික්ෂේප කිරීමට අවශ්ය" සැකසුම භාවිතයෙන් නාමාවලි වෙත ප්රවේශය පැහැදිලිවම ප්රතික්ෂේප කළහොත් ගැටළුව සිදු නොවේ. උදාහරණයක් ලෙස, අර්ධ ආරක්ෂාව සඳහා ඔබට වින්යාස ගොනුවේ සඳහන් කළ හැක: සියල්ල ප්රතික්ෂේප කිරීම අවශ්ය වේ
Apache httpd 2.4.50 විසින් HTTP/2021 ප්රොටෝකෝලය ක්රියාත්මක කරන මොඩියුලයකට බලපාන තවත් අවදානමක් (CVE-41524-2) නිරාකරණය කරයි. අනාරක්ෂිතභාවය නිසා විෙශේෂෙයන් සකස් කරන ලද ඉල්ලීමක් යැවීමෙන් ශුන්ය දර්ශක ඉවත් කිරීම ආරම්භ කිරීමට හැකි වූ අතර ක්රියාවලිය බිඳ වැටීමට හේතු විය. මෙම අවදානම ද දිස්වන්නේ 2.4.49 අනුවාදයේ පමණි. ආරක්ෂක විසඳුමක් ලෙස, ඔබට HTTP/2 ප්රොටෝකෝලය සඳහා සහය අක්රිය කළ හැක.
මූලාශ්රය: opennet.ru