Izdelana je bila nujna posodobitev http strežnika Apache 2.4.50, ki odpravlja že aktivno izkoriščeno 0-dnevno ranljivost (CVE-2021-41773), ki omogoča dostop do datotek iz območij zunaj korenskega imenika spletnega mesta. Z uporabo ranljivosti je mogoče prenesti poljubne sistemske datoteke in izvorna besedila spletnih skriptov, ki jih lahko prebere uporabnik, pod katerim se izvaja http strežnik. Razvijalci so bili o težavi obveščeni 17. septembra, vendar so posodobitev lahko izdali šele danes, potem ko so bili v omrežju zabeleženi primeri uporabe ranljivosti za napade na spletna mesta.
Nevarnost ranljivosti zmanjša dejstvo, da se težava pojavi samo v nedavno izdani različici 2.4.49 in ne vpliva na vse prejšnje izdaje. Stabilne veje konzervativnih strežniških distribucij še niso uporabljale izdaje 2.4.49 (Debian, RHEL, Ubuntu, SUSE), vendar je težava prizadela stalno posodobljene distribucije, kot so Fedora, Arch Linux in Gentoo, ter vrata FreeBSD.
Ranljivost je posledica napake, uvedene med ponovnim pisanjem kode za normalizacijo poti v URI-jih, zaradi katere »%2e« kodiran znak pike v poti ne bi bil normaliziran, če bi bila pred njim druga pika. Tako je bilo možno zamenjati neobdelane znake »../« v nastalo pot z navedbo zaporedja ».%2e/« v zahtevi. Na primer, zahteva, kot je »https://example.com/cgi-bin/.%2e/.%2e/.%2e/.%2e/etc/passwd« ali »https://example.com/cgi -bin /.%2e/%2e%2e/%2e%2e/%2e%2e/etc/hosts« vam je omogočilo pridobitev vsebine datoteke »/etc/passwd«.
Težava se ne pojavi, če je dostop do imenikov izrecno zavrnjen z nastavitvijo »zahtevaj vse zavrnjene«. Na primer, za delno zaščito lahko v konfiguracijski datoteki podate: zahtevajo vse zavrnjeno
Apache httpd 2.4.50 odpravlja tudi drugo ranljivost (CVE-2021-41524), ki vpliva na modul, ki izvaja protokol HTTP/2. Ranljivost je omogočila sprožitev dereference ničelnega kazalca s pošiljanjem posebej oblikovane zahteve in povzročila zrušitev postopka. Tudi ta ranljivost se pojavi samo v različici 2.4.49. Kot varnostno rešitev lahko onemogočite podporo za protokol HTTP/2.
Vir: opennet.ru