Vekta mpya ya uvamizi imepatikana kwa seva ya Apache http, ambayo ilisalia bila kurekebishwa katika sasisho 2.4.50 na inaruhusu ufikiaji wa faili kutoka maeneo yaliyo nje ya saraka ya msingi ya tovuti. Kwa kuongeza, watafiti wamepata njia ambayo inaruhusu, mbele ya mipangilio fulani isiyo ya kawaida, si tu kusoma faili za mfumo, lakini pia kutekeleza kanuni zao kwa mbali kwenye seva. Tatizo linaonekana tu katika matoleo 2.4.49 na 2.4.50; matoleo ya awali hayaathiriwi. Ili kuondoa athari mpya, Apache httpd 2.4.51 ilitolewa haraka.
Toleo jipya (CVE-2021-42013) kimsingi linafanana na udhaifu wa awali (CVE-2021-41773) katika 2.4.49, huku tofauti pekee ikiwa ni usimbaji tofauti wa herufi "..". Hasa, toleo la 2.4.50 lilizuia uwezo wa kutumia mfuatano wa "%2e" kusimba kipindi, lakini lilikosa uwezo wa kukisimba mara mbili wakati wa kubainisha mfuatano wa "%%32%65". seva niliibadilisha kuwa "%2e" na kisha kuwa ".", yaani herufi "../" za kwenda kwenye saraka iliyotangulia zinaweza kusimba kama ".%%32%65/".
Kuhusu kutumia athari kwa njia ya utekelezaji wa nambari, hii inawezekana wakati mod_cgi imewashwa na njia ya msingi inatumiwa ambayo utekelezaji wa hati za CGI unaruhusiwa (kwa mfano, ikiwa maagizo ya ScriptAlias yamewashwa au bendera ya ExecCGI imebainishwa katika Maagizo ya chaguzi). Sharti la lazima kwa shambulio lenye mafanikio pia ni kutoa ufikiaji wa saraka zilizo na faili zinazoweza kutekelezeka, kama vile /bin, au ufikiaji wa mzizi wa mfumo wa faili "/" katika mipangilio ya Apache. Kwa kuwa ufikiaji kama huo hautolewi kwa kawaida, mashambulizi ya utekelezaji wa msimbo yana matumizi kidogo kwa mifumo halisi.
Wakati huo huo, shambulio la kupata yaliyomo kwenye faili za mfumo wa kiholela na maandishi ya chanzo cha maandishi ya wavuti, yanayosomwa na mtumiaji ambayo seva ya http inaendesha, inabaki kuwa muhimu. Ili kutekeleza shambulio kama hilo, inatosha kuwa na saraka kwenye tovuti iliyosanidiwa kwa kutumia maagizo ya "Alias" au "ScriptAlias" (DocumentRoot haitoshi), kama vile "cgi-bin".
Mfano wa matumizi ambayo hukuruhusu kutekeleza matumizi ya "id" kwenye seva: curl 'http://192.168.0.1/cgi-bin/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/bin/sh' —data 'echo Content-Type: text/plain; echo; id' uid=1(daemon) gid=1(daemon) groups=1(daemon)
Mfano wa matumizi ambayo hukuruhusu kuonyesha yaliyomo /etc/passwd na moja ya hati za wavuti (ili kutoa nambari ya hati, saraka iliyofafanuliwa kupitia maagizo ya "Alias", ambayo utekelezaji wa hati haujawezeshwa, lazima ibainishwe. kama saraka ya msingi): curl 'http://192.168.0.1 .32/cgi-bin/.%%65%32/.%%65%32/.%%65%32/.%%65%32/.% %65%192.168.0.1/etc/passwd' curl 'http: //32/aliaseddir/.%%65%32/.%%65%32/.%%65%32/.%%65%32/. %%65%2/usr/local/apacheXNUMX/cgi -bin/test.cgi'
Suala hili huathiri zaidi usambazaji unaosasishwa kila mara kama vile Fedora, Arch Linux na Gentoo, pamoja na milango ya FreeBSD. Vifurushi katika matawi thabiti ya usambazaji wa seva za kihafidhina Debian, RHEL, Ubuntu na SUSE si hatari. Tatizo halitokei ikiwa ufikiaji wa saraka umekataliwa waziwazi kwa kutumia mpangilio wa "zinahitaji zote zilizokataliwa".
Chanzo: opennet.ru
