Pre server Apache http bol nájdený nový vektor útoku, ktorý zostal neopravený v aktualizácii 2.4.50 a umožňuje prístup k súborom z oblastí mimo koreňového adresára lokality. Okrem toho vedci našli metódu, ktorá v prípade určitých neštandardných nastavení umožňuje nielen čítať systémové súbory, ale aj vzdialene spúšťať ich kód na serveri. Problém sa vyskytuje iba vo vydaniach 2.4.49 a 2.4.50, staršie verzie nie sú ovplyvnené. Na odstránenie novej zraniteľnosti bol rýchlo vydaný Apache httpd 2.4.51.
Vo svojej podstate je nový problém (CVE-2021-42013) úplne podobný pôvodnej zraniteľnosti (CVE-2021-41773) v 2.4.49, rozdiel je len v inom kódovaní znakov „..“. Najmä vo vydaní 2.4.50 bola zablokovaná možnosť použiť sekvenciu „%2e“ na kódovanie bodu, ale chýbala možnosť dvojitého kódovania – pri zadávaní sekvencie „%%32%65“ ju server dekódoval do "% 2e" a potom do " .", t.j. znaky "../" na prechod do predchádzajúceho adresára môžu byť zakódované ako ".%%32%65/".
Čo sa týka zneužitia zraniteľnosti prostredníctvom spúšťania kódu, je to možné, keď je povolený mod_cgi a používa sa základná cesta, v ktorej je povolené spúšťanie skriptov CGI (napríklad ak je povolená smernica ScriptAlias alebo je zadaný príznak ExecCGI v opčná smernica). Povinnou požiadavkou pre úspešný útok je tiež explicitné poskytnutie prístupu k adresárom so spustiteľnými súbormi, ako je /bin, alebo prístup ku koreňovému adresáru súborového systému „/“ v nastaveniach Apache. Keďže takýto prístup nie je zvyčajne udelený, útoky na spustenie kódu majú len malú aplikáciu na skutočné systémy.
Zároveň zostáva relevantný útok na získanie obsahu ľubovoľných systémových súborov a zdrojových textov webových skriptov, čitateľných používateľom, pod ktorým beží http server. Na vykonanie takéhoto útoku stačí mať na stránke nakonfigurovaný adresár pomocou direktív „Alias“ alebo „ScriptAlias“ (DocumentRoot nestačí), ako napríklad „cgi-bin“.
Príklad exploitu, ktorý vám umožňuje spustiť nástroj „id“ na serveri: curl 'http://192.168.0.1/cgi-bin/.%%32%65/.%%32%65/.%% 32%65/.%% 32%65/.%%32%65/bin/sh' —data 'echo Content-Type: text/plain; ozvena; id' uid=1(démon) gid=1(démon) skupiny=1(démon)
Príklad exploitov, ktoré vám umožňujú zobraziť obsah /etc/passwd a jedného z webových skriptov (na výstup kódu skriptu je potrebné zadať adresár definovaný prostredníctvom direktívy „Alias“, pre ktorý nie je povolené spúšťanie skriptu ako základný adresár): curl 'http://192.168.0.1 .32/cgi-bin/.%%65%32/.%%65%32/.%%65%32/.%%65%32/.% %65%192.168.0.1/etc/passwd' curl 'http: //32/aliaseddir/.%%65%32/.%%65%32/.%%65%32/.%%65%32/. %%65%2/usr/local/apacheXNUMX/cgi -bin/test.cgi'
Problém sa týka najmä priebežne aktualizovaných distribúcií ako Fedora, Arch Linux a Gentoo, ako aj portov FreeBSD. Balíky v stabilných vetvách konzervatívnych serverových distribúcií Debian, RHEL, Ubuntu a SUSE nie sú touto zraniteľnosťou ovplyvnené. Problém nenastane, ak je prístup k adresárom explicitne odmietnutý pomocou nastavenia „vyžadovať všetko odmietnuté“.
Zdroj: opennet.ru