Apache http சேவையகத்தில் ஒரு புதிய தாக்குதல் திசையன் கண்டுபிடிக்கப்பட்டது, இது 2.4.50 புதுப்பிப்பில் இணைக்கப்படாமல் விடப்பட்டது, இது வலைத்தளத்தின் ரூட் டைரக்டரிக்கு வெளியே உள்ள கோப்புகளை அணுக அனுமதிக்கிறது. மேலும், சில தரமற்ற அமைப்புகளுடன், கணினி கோப்புகளைப் படிப்பது மட்டுமல்லாமல், சேவையகத்தில் குறியீட்டை தொலைவிலிருந்து செயல்படுத்தவும் அனுமதிக்கும் ஒரு முறையை ஆராய்ச்சியாளர்கள் கண்டுபிடித்தனர். இந்த சிக்கல் 2.4.49 மற்றும் 2.4.50 வெளியீடுகளை மட்டுமே பாதிக்கிறது; முந்தைய பதிப்புகள் பாதிக்கப்படக்கூடியவை அல்ல. புதிய பாதிப்பை நிவர்த்தி செய்வதற்காக Apache httpd 2.4.51 விரைவாக வெளியிடப்பட்டது.
புதிய சிக்கல் (CVE-2021-42013), 2.4.49 பதிப்பில் இருந்த அசல் பாதிப்பைப் (CVE-2021-41773) போலவே உள்ளது; ".." குறியீடுகளின் மாறுபட்ட குறியாக்கம் மட்டுமே இதில் உள்ள ஒரே வேறுபாடு. குறிப்பாக, 2.4.50 பதிப்பு, ஒரு புள்ளியைக் குறியாக்கம் செய்ய "%2e" வரிசையைப் பயன்படுத்தும் திறனைத் தடுத்தது, ஆனால் "%%32%65" வரிசையைக் குறிப்பிடும்போது அதை இருமுறை குறியாக்கம் செய்யும் திறனைத் தவறவிட்டது. சர்வர் அதை "%2e" என்றும் பின்னர் "." என்றும் மறைகுறியீடு நீக்கியது, அதாவது முந்தைய கோப்பகத்திற்குச் செல்வதற்கான "../" எழுத்துக்களை ".%%32%65/" என மறைகுறியீடு செய்ய முடிந்தது.
குறியீட்டை செயல்படுத்துவதன் மூலம் பாதிப்பைப் பயன்படுத்துவதைப் பொறுத்தவரை, mod_cgi இயக்கப்பட்டு, CGI ஸ்கிரிப்ட் செயல்படுத்தலை அனுமதிக்கும் ஒரு அடிப்படை பாதை பயன்படுத்தப்படும்போது இது சாத்தியமாகும் (எடுத்துக்காட்டாக, ScriptAlias உத்தரவு இயக்கப்பட்டிருந்தால் அல்லது ExecCGI கொடி விருப்பங்கள் உத்தரவில் குறிப்பிடப்பட்டிருந்தால்). வெற்றிகரமான தாக்குதலுக்கான கட்டாயத் தேவை, /bin போன்ற இயங்கக்கூடிய கோப்புகளைக் கொண்ட கோப்பகங்களுக்கு வெளிப்படையாக அணுகலை வழங்குவது அல்லது Apache அமைப்புகளில் உள்ள ரூட் கோப்பு முறைமை "/" ஐ அணுகுவது. அத்தகைய அணுகல் பொதுவாக வழங்கப்படாததால், குறியீடு செயல்படுத்தல் தாக்குதல் நிஜ உலக அமைப்புகளுக்கு மட்டுப்படுத்தப்பட்ட பொருந்தக்கூடியது.
அதே நேரத்தில், HTTP சேவையகத்தை இயக்கும் பயனருக்கு அணுகக்கூடிய தன்னிச்சையான கணினி கோப்புகள் மற்றும் வலை ஸ்கிரிப்ட் மூலக் குறியீட்டின் உள்ளடக்கங்களைப் பெறுவதற்கான தாக்குதல்கள் பொருத்தமானவை. அத்தகைய தாக்குதலை நடத்த, "cgi-bin" போன்ற "alias" அல்லது "ScriptAlias" உத்தரவுகளைப் (DocumentRoot போதுமானதாக இல்லை) பயன்படுத்தி தளத்தில் ஒரு கோப்பகத்தை உள்ளமைத்திருப்பது போதுமானது.
"id" பயன்பாட்டை இயக்க உங்களை அனுமதிக்கும் ஒரு சுரண்டலின் எடுத்துக்காட்டு சர்வர்: curl 'http://192.168.0.1/cgi-bin/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/bin/sh' —தரவு 'எதிரொலி உள்ளடக்க வகை: உரை/வெற்று; எதிரொலி; ஐடி' uid=1(டீமன்) gid=1(டீமன்) குழுக்கள்=1(டீமன்)
/etc/passwd இன் உள்ளடக்கங்களையும் வலை ஸ்கிரிப்ட்களில் ஒன்றையும் காண்பிக்க உங்களை அனுமதிக்கும் ஒரு சுரண்டலின் எடுத்துக்காட்டு (ஸ்கிரிப்ட் குறியீட்டைத் திருப்பித் தர, அடிப்படை கோப்பகம் "அலியாஸ்" உத்தரவு வழியாக குறிப்பிடப்பட வேண்டும், அதற்கான ஸ்கிரிப்ட் செயல்படுத்தல் இயக்கப்படவில்லை): curl 'http://192.168.0.1/cgi-bin/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/etc/passwd' curl 'http://192.168.0.1/aliaseddir/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/usr/local/apache2/cgi-bin/test.cgi'
இந்தச் சிக்கல் முக்கியமாக ஃபெடோரா, ஆர்ச் போன்ற தொடர்ந்து புதுப்பிக்கப்படும் விநியோகங்களைப் பாதிக்கிறது. Linux மற்றும் ஜென்டூ, அத்துடன் ஃப்ரீபிஎஸ்டி பதிப்புகளும். பழமைவாத சேவையக விநியோகங்களின் நிலையான கிளைகளில் உள்ள தொகுப்புகள். Debian, RHEL, Ubuntu மேலும் SUSE பாதிக்கப்படக்கூடிய நிலையில் இல்லை. "require all denied" என்ற அமைப்பைப் பயன்படுத்தி கோப்பகங்களுக்கான அணுகல் வெளிப்படையாக மறுக்கப்பட்டால், இந்தப் பிரச்சினை ஏற்படாது.
ஆதாரம்: opennet.ru
