ProHoster > Blog > talafou initaneti > Fa'aletonu i le Apache 2.4.49 http server e mafai ai ona e mauaina faila i fafo atu o le a'a o le saite

Fa'aletonu i le Apache 2.4.49 http server e mafai ai ona e mauaina faila i fafo atu o le a'a o le saite

O se faʻafouga faʻanatinati i le Apache 2.4.50 http server ua faia, lea e faʻaumatia ai le faʻaogaina o le 0-aso faʻafitauli (CVE-2021-41773), lea e mafai ai ona maua faila mai vaega i fafo atu o le lisi o aʻa. I le fa'aogaina o le fa'aletonu, e mafai ai ona si'itia faila fa'atonu ma fa'amatalaga puna o tusitusiga i luga o le upega tafa'ilagi, e mafai ona faitau e le tagata fa'aoga o lo'o fa'agaoioia le http server. Na logoina le au atinaʻe e uiga i le faʻafitauli i le aso 17 o Setema, ae na mafai ona tuʻuina atu le faʻafouga naʻo aso nei, pe a maeʻa mataupu o le faʻaogaina o le faʻaogaina e osofaʻia ai upega tafaʻilagi na faʻamauina i luga o le upega tafaʻilagi.

O le faʻaitiitia o le lamatiaga o le faʻafitauli o le faʻafitauli naʻo le faʻaalia i le lomiga talu ai nei 2.4.49 ma e le afaina uma faʻasalalauga muamua. O lala mautu o faʻasalalauga faʻasao faʻasao e leʻi faʻaaogaina le 2.4.49 faʻamalolo (Debian, RHEL, Ubuntu, SUSE), ae o le faʻafitauli na aʻafia ai le faʻaauau pea ona faʻafouina tufatufaga e pei o Fedora, Arch Linux ma Gentoo, faʻapea foʻi ma taulaga o FreeBSD.

O le faʻafitauli e mafua mai i se pusa na faʻafeiloaʻi i le taimi o le toe tusia o le code mo le faʻavasegaina o auala i URI, ona o le "% 2e" faʻailoga mataʻitusi uiga i totonu o se ala o le a le mafai ona faʻasalaina pe afai e muamua i se isi togi. O lea, na mafai ai ona suitulaga mata'itusi mata'utia "../" i le ala e maua ai e ala i le fa'amaotiina o le fa'asologa ".%2e/" i le talosaga. Mo se faʻataʻitaʻiga, o se talosaga e pei o le "https://example.com/cgi-bin/.%2e/.%2e/.%2e/.%2e/etc/passwd" poʻo le "https://example.com/cgi -bin /.%2e/%2e%2e/%2e%2e/%2e%2e/etc/hosts" fa'atagaina oe e maua mea o lo'o iai le faila "/etc/passwd".

E le tupu le faʻafitauli pe a fai e faʻafitia le avanoa i faʻatonuga e faʻaaoga ai le "manaʻomia uma faʻafitia" seti. Mo se faʻataʻitaʻiga, mo se vaega o le puipuiga e mafai ona e faʻamaonia i le faila faila: mana'omia le fa'afiti uma

Apache httpd 2.4.50 faʻapipiʻiina foi se isi faʻafitauli (CVE-2021-41524) e aʻafia ai se module o loʻo faʻatinoina le HTTP/2 protocol. O le fa'aletonu na mafai ai ona amata le null pointer dereference e ala i le tu'uina atu o se talosaga fa'apitoa na faia ma fa'alavelave ai le faiga. O lenei fa'aletonu e aliali mai na'o le version 2.4.49. I le avea ai ma se puipuiga malu, e mafai ona e tapeina le lagolago mo le HTTP/2 protocol.

puna: opennet.ru

Faaopoopo i ai se faamatalaga