Apache 2.4.50 http சேவையகத்திற்கான அவசர புதுப்பிப்பு உருவாக்கப்பட்டது, இது ஏற்கனவே தீவிரமாக பயன்படுத்தப்பட்ட 0-நாள் பாதிப்பை (CVE-2021-41773) நீக்குகிறது, இது தளத்தின் ரூட் கோப்பகத்திற்கு வெளியே உள்ள பகுதிகளிலிருந்து கோப்புகளை அணுக அனுமதிக்கிறது. பாதிப்பைப் பயன்படுத்தி, http சேவையகம் இயங்கும் பயனரால் படிக்கக்கூடிய தன்னிச்சையான கணினி கோப்புகள் மற்றும் இணைய ஸ்கிரிப்ட்களின் மூல உரைகளை பதிவிறக்கம் செய்ய முடியும். செப்டம்பர் 17 அன்று டெவலப்பர்களுக்கு இந்தச் சிக்கல் குறித்து அறிவிக்கப்பட்டது, ஆனால் இணையதளங்களைத் தாக்குவதற்குப் பயன்படுத்தப்படும் பாதிப்புகள் நெட்வொர்க்கில் பதிவு செய்யப்பட்ட பிறகு, இன்றுதான் புதுப்பிப்பை வெளியிட முடிந்தது.
பாதிப்பின் ஆபத்தைத் தணிப்பது என்னவென்றால், சிக்கல் சமீபத்தில் வெளியிடப்பட்ட பதிப்பு 2.4.49 இல் மட்டுமே தோன்றும் மற்றும் அனைத்து முந்தைய வெளியீடுகளையும் பாதிக்காது. கன்சர்வேடிவ் சர்வர் விநியோகங்களின் நிலையான கிளைகள் இன்னும் 2.4.49 வெளியீட்டைப் பயன்படுத்தவில்லை (டெபியன், RHEL, Ubuntu, SUSE), ஆனால் பிரச்சனை தொடர்ந்து புதுப்பிக்கப்பட்ட விநியோகங்களான Fedora, Arch Linux மற்றும் Gentoo மற்றும் FreeBSD போர்ட்களை பாதித்தது.
URI களில் பாதைகளை இயல்பாக்குவதற்கான குறியீட்டை மீண்டும் எழுதும் போது அறிமுகப்படுத்தப்பட்ட பிழை காரணமாக இந்த பாதிப்பு ஏற்படுகிறது, இதன் காரணமாக ஒரு பாதையில் "%2e" குறியிடப்பட்ட புள்ளி எழுத்து மற்றொரு புள்ளியால் முன்வைக்கப்பட்டிருந்தால் அது இயல்பாக்கப்படாது. எனவே, கோரிக்கையில் ".%2e/" வரிசையைக் குறிப்பிடுவதன் மூலம், பெறப்பட்ட பாதையில் "../" எழுத்துகளை மாற்ற முடியும். எடுத்துக்காட்டாக, “https://example.com/cgi-bin/.%2e/.%2e/.%2e/.%2e/etc/passwd” அல்லது “https://example.com/cgi” போன்ற கோரிக்கை -bin /.%2e/%2e%2e/%2e%2e/%2e%2e/etc/hosts" "/etc/passwd" கோப்பின் உள்ளடக்கங்களைப் பெற உங்களை அனுமதித்தது.
"அனைத்தும் மறுக்கப்பட வேண்டும்" அமைப்பைப் பயன்படுத்தி கோப்பகங்களுக்கான அணுகல் வெளிப்படையாக மறுக்கப்பட்டால் சிக்கல் ஏற்படாது. எடுத்துக்காட்டாக, பகுதி பாதுகாப்புக்காக நீங்கள் உள்ளமைவு கோப்பில் குறிப்பிடலாம்: தேவை அனைத்தும் மறுக்கப்பட்டது
Apache httpd 2.4.50 ஆனது HTTP/2021 நெறிமுறையைச் செயல்படுத்தும் தொகுதியைப் பாதிக்கும் மற்றொரு பாதிப்பையும் (CVE-41524-2) சரிசெய்கிறது. விசேஷமாக வடிவமைக்கப்பட்ட கோரிக்கையை அனுப்புவதன் மூலம் பூஜ்ய சுட்டிக் குறிப்பைத் தொடங்குவதற்கு இந்த பாதிப்பு சாத்தியமாக்கியது மற்றும் செயல்முறை செயலிழக்கச் செய்தது. இந்த பாதிப்பு பதிப்பு 2.4.49 இல் மட்டுமே தோன்றும். பாதுகாப்பு தீர்வாக, நீங்கள் HTTP/2 நெறிமுறைக்கான ஆதரவை முடக்கலாம்.
ஆதாரம்: opennet.ru