Izdana je bila nujna posodobitev za strežnik Apache HTTP, različice 2.4.50. Odpravlja trenutno aktivno izkoriščano ranljivost ničelnega dne (CVE-2021-41773), ki omogoča dostop do datotek zunaj korenskega imenika spletnega mesta. Ta ranljivost omogoča nalaganje poljubnih sistemskih datotek in izvorne kode spletnih skriptov, zaradi česar jih lahko bere uporabnik, ki izvaja strežnik HTTP. Razvijalci so bili o težavi obveščeni 17. septembra, vendar so posodobitev lahko izdali šele danes, potem ko je bilo na spletu prijavljenih več primerov izkoriščanja ranljivosti.
Resnost ranljivosti je zmanjšana z dejstvom, da se težava pojavlja le v nedavno izdani različici 2.4.49 in ne vpliva na vse prejšnje izdaje. Izdaja 2.4.49 še ni bila uporabljena v stabilnih vejah konzervativnih strežniških distribucij (Debian, RHEL, Ubuntu, SUSE), vendar je težava vplivala na nenehno posodobljene distribucije, kot sta Fedora, Arch Linux in Gentoo, kot tudi porti FreeBSD.
Ranljivost povzroča napaka, ki je nastala med preoblikovanjem kode za normalizacijo poti URI. Zaradi tega se pika v poti, kodirani z zaporedjem »%2e«, ni normalizirala, če je pred njo stala druga pika. To je omogočilo, da so bili neshranjeni znaki »../« vstavljeni v nastalo pot z določitvijo zaporedja ».%2e/« v zahtevi. Na primer, zahteva, kot je »https://example.com/cgi-bin/.%2e/.%2e/.%2e/.%2e/etc/passwd« ali »https://example.com/cgi-bin/.%2e/%2e%2e/%2e%2e/%2e%2e/etc/hosts«, je lahko pridobila vsebino datoteke »/etc/passwd«.
Do težave ne pride, če je dostop do imenikov izrecno zavrnjen z nastavitvijo »zahtevaj vse zavrnjene«. Na primer, za delno zaščito lahko v konfiguracijski datoteki določite naslednje: zahtevati vse zavrnjeno
Apache httpd 2.4.50 odpravlja tudi drugo ranljivost (CVE-2021-41524), ki vpliva na implementacijski modul protokola HTTP/2. Ta ranljivost je omogočila, da je posebej oblikovana zahteva sprožila dereferenco kazalca NULL in povzročila zrušitev procesa. Ta ranljivost vpliva samo na različico 2.4.49. Rešitev je onemogočanje podpore za HTTP/2.
Vir: opennet.ru
