Është krijuar një përditësim urgjent në serverin Apache 2.4.50 http, i cili eliminon një cenueshmëri 0-ditore tashmë të shfrytëzuar në mënyrë aktive (CVE-2021-41773), e cila lejon aksesin në skedarë nga zona jashtë drejtorisë rrënjësore të faqes. Duke përdorur cenueshmërinë, është e mundur të shkarkohen skedarë arbitrare të sistemit dhe tekste burimore të skripteve në internet, të lexueshme nga përdoruesi nën të cilin funksionon serveri http. Zhvilluesit u njoftuan për problemin më 17 shtator, por ishin në gjendje të lëshonin përditësimin vetëm sot, pasi rastet e cenueshmërisë që përdorej për të sulmuar faqet e internetit u regjistruan në rrjet.
Zbutja e rrezikut të cenueshmërisë është se problemi shfaqet vetëm në versionin 2.4.49 të lëshuar së fundmi dhe nuk prek të gjitha lëshimet e mëparshme. Degët e qëndrueshme të shpërndarjeve konservatore të serverëve nuk e kanë përdorur ende lëshimin 2.4.49 (Debian, RHEL, Ubuntu, SUSE), por problemi preku shpërndarjet e përditësuara vazhdimisht si Fedora, Arch Linux dhe Gentoo, si dhe portet e FreeBSD.
Dobësia është për shkak të një gabimi të paraqitur gjatë një rishkrimi të kodit për normalizimin e shtigjeve në URI, për shkak të të cilit një karakter pikë e koduar "%2e" në një shteg nuk do të normalizohej nëse do të paraprihej nga një pikë tjetër. Kështu, ishte e mundur të zëvendësoheshin karakteret e papërpunuara "../" në shtegun që rezulton duke specifikuar sekuencën ".%2e/" në kërkesë. Për shembull, një kërkesë si "https://example.com/cgi-bin/.%2e/.%2e/.%2e/.%2e/etc/passwd" ose "https://example.com/cgi -bin /.%2e/%2e%2e/%2e%2e/%2e%2e/etc/hosts" ju lejoi të merrni përmbajtjen e skedarit "/etc/passwd".
Problemi nuk ndodh nëse qasja në drejtori refuzohet në mënyrë eksplicite duke përdorur cilësimin "kërkojnë të gjitha të mohuara". Për shembull, për mbrojtje të pjesshme mund të specifikoni në skedarin e konfigurimit: kërkojnë të gjitha të mohuara
Apache httpd 2.4.50 rregullon gjithashtu një dobësi tjetër (CVE-2021-41524) që prek një modul që zbaton protokollin HTTP/2. Dobësia bëri të mundur fillimin e çreferencimit të treguesit të pavlefshëm duke dërguar një kërkesë të krijuar posaçërisht dhe duke shkaktuar rrëzimin e procesit. Kjo dobësi shfaqet gjithashtu vetëm në versionin 2.4.49. Si një zgjidhje sigurie, mund të çaktivizoni mbështetjen për protokollin HTTP/2.
Burimi: opennet.ru