Vector e ncha ea tlhaselo e fumanoe bakeng sa seva sa Apache http, se ileng sa lula se sa lokisoe ho ntlafatso ea 2.4.50 mme se lumella ho fihlella lifaele tse tsoang libakeng tse ka ntle ho mohloli oa metso ea sebaka. Ho phaella moo, bafuputsi ba fumane mokhoa o lumellang, ka pel'a maemo a itseng a sa tloaelehang, eseng feela ho bala lifaele tsa tsamaiso, empa hape le ho phethahatsa khoutu ea bona ka thōko ho seva. Bothata bo hlaha feela likhatisong tsa 2.4.49 le 2.4.50; liphetolelo tsa pejana ha li amehe. Ho felisa ts'oaetso e ncha, Apache httpd 2.4.51 e ile ea lokolloa kapele.
Motheong oa eona, bothata bo bocha (CVE-2021-42013) bo ts'oana ka ho felletseng le ts'oaetso ea mantlha (CVE-2021-41773) ho 2.4.49, phapang e le 'ngoe feela ke khouto e fapaneng ea litlhaku tsa "..". Haholo-holo, ka tokollo 2.4.50 bokhoni ba ho sebelisa tatellano "% 2e" ho encode ntlha e ne e thibetsoe, empa monyetla oa ho kopanya habeli o ile oa hloloheloa - ha o hlalosa tatellano "%% 32%65", seva e ile ea e hlalosa. ho "%2e" ebe ho ".", ke hore. litlhaku tsa "../" tse lokelang ho ea bukeng e fetileng li ka ngolisoa joalo ka ".%%32%65/".
Ha e le ho sebelisa monyetla oa ho ba kotsing ka ho etsa khoutu, sena se ka etsahala ha mod_cgi e nolofalitsoe 'me ho sebelisoa tsela ea motheo eo ho eona ho lumelloang ho sebelisa mangolo a CGI (mohlala, haeba taelo ea ScriptAlias e lumelloa kapa folakha ea ExecCGI e hlalositsoe ho Taelo ya dikgetho). Tlhokahalo e tlamang bakeng sa tlhaselo e atlehileng hape ke ho fana ka phihlello ea li-directory tse nang le lifaele tse sebetsang, joalo ka / bin, kapa phihlello ea motso oa sistimi ea faele "/" litlhophisong tsa Apache. Kaha phihlello e joalo ha e fanoe ka tloaelo, litlhaselo tsa ts'ebetso ea khoutu ha li na ts'ebeliso e nyane ho litsamaiso tsa nnete.
Ka nako e ts'oanang, tlhaselo ea ho fumana likahare tsa lifaele tsa tsamaiso e hanyetsanang le litemana tsa mohloli oa mangolo a marang-rang, a baloang ke mosebedisi eo seva sa http e sebetsang tlas'a eona, e ntse e sebetsa. Ho etsa tlhaselo e joalo, ho lekane ho ba le bukana sebakeng sa marang-rang se hlophisitsoeng ho sebelisoa litaelo tsa "Alias" kapa "ScriptAlias" (DocumentRoot ha ea lekana), joalo ka "cgi-bin".
Mohlala oa ts'ebeliso e u lumellang ho sebelisa "id" sesebelisoa ho seva: curl 'http://192.168.0.1/cgi-bin/.%%32%65/.%%32%65/.%% 32%65/.%% 32%65/.%%32%65/bin/sh' —data 'echo Content-Type: text/plain; echo; id' uid=1(daemon) gid=1(daemon) lihlopha=1(daemon)
Mohlala oa liketso tse u lumellang ho bonts'a litaba tsa / joalo-joalo / passwd le e 'ngoe ea lingoloa tsa webo (ho hlahisa khoutu ea script, bukana e hlalositsoeng ka taelo ea "Alias", eo ts'ebetso ea script e sa lumelloang, e tlameha ho hlalosoa. joalo ka buka ea motheo): curl 'http://192.168.0.1 .32/cgi-bin/.%%65%32/.%%65%32/.%%65%32/.%%65%32/.%. %65%192.168.0.1/etc/passwd' curl 'http: //32/aliaseddir/.%%65%32/.%%65%32/.%%65%32/.%%65%32/. %%65%2/usr/local/apacheXNUMX/cgi -bin/test.cgi'
Bothata bo ama haholo liphaello tse ntlafalitsoeng tse tsoelang pele joalo ka Fedora, Arch Linux le Gentoo, hammoho le likou tsa FreeBSD. Liphutheloana tse makaleng a tsitsitseng a li-server tse bolokang Debian, RHEL, Ubuntu le SUSE ha li amehe ke ho ba kotsing. Bothata ha bo etsahale haeba phihlello ea li-directory e hanoa ka ho hlaka ho sebelisoa "ho hloka hore bohle ba hane".
Source: opennet.ru