En brådskande uppdatering av Apache 2.4.50 http-servern har skapats, vilket eliminerar en redan aktivt utnyttjad 0-dagars sårbarhet (CVE-2021-41773), som tillåter åtkomst till filer från områden utanför webbplatsens rotkatalog. Med hjälp av sårbarheten är det möjligt att ladda ner godtyckliga systemfiler och källtexter till webbskript, läsbara av användaren under vilken http-servern körs. Utvecklarna underrättades om problemet den 17 september, men kunde släppa uppdateringen först idag, efter att fall av sårbarheten som användes för att attackera webbplatser registrerades på nätverket.
Att mildra risken med sårbarheten är att problemet bara uppstår i den nyligen släppta versionen 2.4.49 och inte påverkar alla tidigare versioner. De stabila grenarna av konservativa serverdistributioner har ännu inte använt 2.4.49-utgåvan (Debian, RHEL, Ubuntu, SUSE), men problemet påverkade kontinuerligt uppdaterade distributioner som Fedora, Arch Linux och Gentoo, såväl som portar av FreeBSD.
Sårbarheten beror på en bugg som introducerades under en omskrivning av koden för normalisering av sökvägar i URI:er, på grund av vilket ett "%2e"-kodat punkttecken i en sökväg inte skulle normaliseras om det föregicks av en annan punkt. Således var det möjligt att ersätta råa "../"-tecken i den resulterande sökvägen genom att ange sekvensen ".%2e/" i begäran. Till exempel en begäran som "https://example.com/cgi-bin/.%2e/.%2e/.%2e/.%2e/etc/passwd" eller "https://example.com/cgi" -bin /.%2e/%2e%2e/%2e%2e/%2e%2e/etc/hosts" tillät dig att hämta innehållet i filen "/etc/passwd".
Problemet uppstår inte om åtkomst till kataloger uttryckligen nekas med inställningen "kräv alla nekade". Till exempel, för partiellt skydd kan du ange i konfigurationsfilen: kräver att alla nekas
Apache httpd 2.4.50 fixar också en annan sårbarhet (CVE-2021-41524) som påverkar en modul som implementerar HTTP/2-protokollet. Sårbarheten gjorde det möjligt att initiera nollpekarereferens genom att skicka en specialgjord begäran och få processen att krascha. Denna sårbarhet förekommer också endast i version 2.4.49. Som en säkerhetslösning kan du inaktivera stödet för HTTP/2-protokollet.
Källa: opennet.ru