Vekta mpya ya uvamizi imepatikana kwa seva ya Apache http, ambayo ilisalia bila kurekebishwa katika sasisho 2.4.50 na inaruhusu ufikiaji wa faili kutoka maeneo yaliyo nje ya saraka ya msingi ya tovuti. Kwa kuongeza, watafiti wamepata njia ambayo inaruhusu, mbele ya mipangilio fulani isiyo ya kawaida, si tu kusoma faili za mfumo, lakini pia kutekeleza kanuni zao kwa mbali kwenye seva. Tatizo linaonekana tu katika matoleo 2.4.49 na 2.4.50; matoleo ya awali hayaathiriwi. Ili kuondoa athari mpya, Apache httpd 2.4.51 ilitolewa haraka.
Katika msingi wake, tatizo jipya (CVE-2021-42013) linafanana kabisa na mazingira magumu ya awali (CVE-2021-41773) katika 2.4.49, tofauti pekee ni usimbaji tofauti wa wahusika "..". Hasa, katika toleo la 2.4.50 uwezo wa kutumia mlolongo "%2e" kusimba hatua ulizuiwa, lakini uwezekano wa usimbuaji mara mbili haukukosekana - wakati wa kubainisha mlolongo "%%32%65", seva iliiweka. ndani ya "%2e" na kisha kwenye ".", i.e. herufi "../" za kwenda kwenye saraka iliyotangulia zinaweza kusimba kama ".%%32%65/".
Kuhusu kutumia athari kwa njia ya utekelezaji wa nambari, hii inawezekana wakati mod_cgi imewashwa na njia ya msingi inatumiwa ambayo utekelezaji wa hati za CGI unaruhusiwa (kwa mfano, ikiwa maagizo ya ScriptAlias ββyamewashwa au bendera ya ExecCGI imebainishwa katika Maagizo ya chaguzi). Sharti la lazima kwa shambulio lenye mafanikio pia ni kutoa ufikiaji wa saraka zilizo na faili zinazoweza kutekelezeka, kama vile /bin, au ufikiaji wa mzizi wa mfumo wa faili "/" katika mipangilio ya Apache. Kwa kuwa ufikiaji kama huo hautolewi kwa kawaida, mashambulizi ya utekelezaji wa msimbo yana matumizi kidogo kwa mifumo halisi.
Wakati huo huo, shambulio la kupata yaliyomo kwenye faili za mfumo wa kiholela na maandishi ya chanzo cha maandishi ya wavuti, yanayosomwa na mtumiaji ambayo seva ya http inaendesha, inabaki kuwa muhimu. Ili kutekeleza shambulio kama hilo, inatosha kuwa na saraka kwenye tovuti iliyosanidiwa kwa kutumia maagizo ya "Alias" au "ScriptAlias" (DocumentRoot haitoshi), kama vile "cgi-bin".
Mfano wa matumizi ambayo hukuruhusu kutekeleza matumizi ya "id" kwenye seva: curl 'http://192.168.0.1/cgi-bin/.%%32%65/.%%32%65/.%% 32%65/.%% 32%65/.%%32%65/bin/sh' βdata 'echo Content-Type: text/plain; mwangwi; id' uid=1(daemon) gid=1(daemon) vikundi=1(daemon)
Mfano wa matumizi ambayo hukuruhusu kuonyesha yaliyomo /etc/passwd na moja ya hati za wavuti (ili kutoa nambari ya hati, saraka iliyofafanuliwa kupitia maagizo ya "Alias", ambayo utekelezaji wa hati haujawezeshwa, lazima ibainishwe. kama saraka ya msingi): curl 'http://192.168.0.1 .32/cgi-bin/.%%65%32/.%%65%32/.%%65%32/.%%65%32/.% %65%192.168.0.1/etc/passwd' curl 'http: //32/aliaseddir/.%%65%32/.%%65%32/.%%65%32/.%%65%32/. %%65%2/usr/local/apacheXNUMX/cgi -bin/test.cgi'
Tatizo huathiri sana usambazaji unaoendelea kusasishwa kama vile Fedora, Arch Linux na Gentoo, pamoja na bandari za FreeBSD. Vifurushi katika matawi thabiti ya usambazaji wa seva kihafidhina Debian, RHEL, Ubuntu na SUSE haziathiriwi na athari. Tatizo halifanyiki ikiwa ufikiaji wa saraka umekataliwa wazi kwa kutumia mpangilio wa "hitaji zote kukataliwa".
Chanzo: opennet.ru