Пронађен је нови вектор напада за Апацхе хттп сервер, који је остао неисправљен у ажурирању 2.4.50 и омогућава приступ датотекама из области изван основног директоријума сајта. Поред тога, истраживачи су пронашли метод који омогућава, у присуству одређених нестандардних подешавања, не само читање системских датотека, већ и даљинско извршавање њиховог кода на серверу. Проблем се појављује само у издањима 2.4.49 и 2.4.50; то не утиче на старије верзије. Да би се елиминисала нова рањивост, брзо је пуштен Апацхе хттпд 2.4.51.
У суштини, нови проблем (ЦВЕ-2021-42013) је потпуно сличан оригиналној рањивости (ЦВЕ-2021-41773) у 2.4.49, једина разлика је другачије кодирање знакова „..“. Конкретно, у издању 2.4.50 могућност да се користи секвенца „%2е“ за кодирање тачке је била блокирана, али је пропуштена могућност двоструког кодирања – приликом навођења секвенце „%%32%65“, сервер ју је декодирао у „%2е“, а затим у „.“, тј. знакови "../" за одлазак у претходни директориј могу бити кодирани као ".%%32%65/".
Што се тиче искоришћавања рањивости кроз извршавање кода, то је могуће када је мод_цги омогућен и када се користи основна путања у којој је дозвољено извршавање ЦГИ скрипти (на пример, ако је омогућена директива СцриптАлиас или је ЕкецЦГИ заставица наведена у Директива о опцијама). Обавезни услов за успешан напад је такође да се експлицитно обезбеди приступ директоријумима са извршним датотекама, као што је /бин, или приступ корену система датотека „/“ у подешавањима Апацхе-а. Пошто се такав приступ обично не одобрава, напади извршавања кода имају малу примену на стварним системима.
Истовремено, остаје релевантан напад на добијање садржаја произвољних системских датотека и изворних текстова веб скрипти, које може да прочита корисник под којим је хттп сервер покренут. Да бисте извршили такав напад, довољно је да имате директоријум на сајту конфигурисан помоћу директива „Алиас“ или „СцриптАлиас“ (ДоцументРоот није довољан), као што је „цги-бин“.
Пример експлоатације који вам омогућава да извршите услужни програм „ид“ на серверу: цурл 'хттп://192.168.0.1/цги-бин/.%%32%65/.%%32%65/.%% 32%65/.%% 32%65/.%%32%65/бин/сх' —дата 'ецхо Цонтент-Типе: тект/плаин; одјек; ид' уид=1(даемон) гид=1(даемон) гроупс=1(даемон)
Пример експлоатације који вам омогућава да прикажете садржај /етц/пассвд и једне од веб скрипти (да бисте избацили код скрипте, мора се навести директоријум дефинисан преко „Алиас“ директиве, за који није омогућено извршавање скрипте као основни директоријум): цурл 'хттп://192.168.0.1 .32/цги-бин/.%%65%32/.%%65%32/.%%65%32/.%%65%32/.% %65%192.168.0.1/етц/пассвд' цурл 'хттп: //32/алиаседдир/.%%65%32/.%%65%32/.%%65%32/.%%65%32/. %%65%2/уср/лоцал/апацхеXNUMX/цги -бин/тест.цги'
Проблем углавном утиче на дистрибуције које се стално ажурирају као што су Федора, Арцх Линук и Гентоо, као и на портове ФрееБСД-а. Рањивост не утиче на пакете у стабилним гранама конзервативних серверских дистрибуција Дебиан, РХЕЛ, Убунту и СУСЕ. Проблем се не јавља ако је приступ директоријумима експлицитно одбијен коришћењем поставке „захтевај све одбијено“.
Извор: опеннет.ру