I le http server (nhttpd) vaivai
(CVE-2019-16278), lea e mafai ai e se tagata osofaʻi ona faʻatino mamao le code i luga o le 'auʻaunaga e ala i le tuʻuina atu o se talosaga HTTP faʻapitoa. O le mataupu o le a faaleleia i le tatalaina (e le'i fa'asalalauina). I le faʻamasinoina i faʻamatalaga mai le Shodan search engine, o le Nostromo http server o loʻo faʻaogaina i luga o le 2000 faʻasalalauga avanoa lautele.
O le fa'aletonu e mafua mai i se mea sese i le http_verify galuega, lea e misi ai le avanoa i faila faila i fafo atu o le a'a o le saite e ala i le pasia o le faasologa ".%0d./" i le ala. O le fa'aletonu e tupu ona o le siakiina o le i ai o mataitusi "../" e faia a'o le'i fa'atinoina le galuega fa'atonu ala, lea e aveese ai mataitusi fou (%0d) mai le manoa.
mo fa'aletonu, e mafai ona e mauaina /bin/sh nai lo le CGI script ma fa'atino so'o se atigi atigi e ala i le tu'uina atu o se talosaga POST i le URI "/.%0d./.%0d./.%0d./.%0d./bin /sh "ma le pasia o poloaiga i le tino o le talosaga. O le mea e malie ai, i le 2011, o se faʻafitauli tutusa (CVE-2011-0751) ua uma ona faʻapipiʻiina i Nostromo, lea na faʻatagaina ai se osofaʻiga e ala i le tuʻuina atu o le talosaga "/..%2f..%2f..%2fbin/sh".
puna: opennet.ru