Навсозии фаврӣ дар сервери http Apache 2.4.50 сохта шудааст, ки осебпазирии аллакай фаъолона истифодашудаи 0-рӯзаро (CVE-2021-41773) нест мекунад, ки имкон медиҳад ба файлҳо аз минтақаҳои берун аз феҳристи решаи сайт дастрасӣ пайдо кунад. Бо истифода аз осебпазирӣ, зеркашӣ кардани файлҳои ихтиёрии система ва матнҳои сарчашмаи скриптҳои веб, ки аз ҷониби корбаре, ки дар зери он сервери http кор мекунад, хондан мумкин аст. Таҳиягарон аз ин мушкилот рӯзи 17 сентябр огоҳ шуданд, аммо тавонистанд навсозиро танҳо имрӯз, пас аз сабт шудани ҳолатҳои осебпазирӣ барои ҳамла ба вебсайтҳо дар шабака интишор кунанд.
Коҳиш додани хатари осебпазирӣ дар он аст, ки мушкилот танҳо дар версияи 2.4.49-и ба наздикӣ нашршуда пайдо мешавад ва ба ҳамаи версияҳои қаблӣ таъсир намерасонад. Шохаҳои устувори дистрибюторҳои консервативии сервер то ҳол версияи 2.4.49-ро (Debian, RHEL, Ubuntu, SUSE) истифода накардаанд, аммо ин мушкилот ба дистрибьютерҳои пайваста навшаванда ба монанди Fedora, Arch Linux ва Gentoo, инчунин портҳои FreeBSD таъсир расонд.
Ин осебпазирӣ бо сабаби иштибоҳе мебошад, ки ҳангоми азнавнависии рамз барои ба эътидол овардани роҳҳо дар URI ворид шудааст, бинобар ин аломати нуқтаи "% 2e" рамзгузоришуда дар роҳ ба эътидол намеояд, агар пеш аз он нуқтаи дигар бошад. Ҳамин тариқ, имкон дошт, ки аломатҳои хоми "../" -ро ба роҳи натиҷавӣ бо роҳи муайян кардани пайдарпайии ".%2e/" дар дархост иваз кунед. Масалан, дархост ба монанди "https://example.com/cgi-bin/.%2e/.%2e/.%2e/.%2e/etc/passwd" ё "https://example.com/cgi -bin /.%2e/%2e%2e/%2e%2e/%2e%2e/etc/hosts" ба шумо имкон дод, ки мундариҷаи файли "/etc/passwd"-ро гиред.
Мушкилот ба миён намеояд, агар дастрасӣ ба директорияҳо бо истифода аз танзимоти "ҳамаи радшударо талаб кунед" ба таври возеҳ рад карда шавад. Масалан, барои муҳофизати қисман шумо метавонед дар файли конфигуратсия нишон диҳед: ҳама рад карданро талаб мекунанд
Apache httpd 2.4.50 инчунин осебпазирии дигареро (CVE-2021-41524) ислоҳ мекунад, ки ба модули амалисозии протоколи HTTP/2 таъсир мерасонад. Ин осебпазирӣ имкон дод, ки бо фиристодани дархости махсус таҳияшуда истинод ба нул нишондодро оғоз кунад ва боиси шикастани раванд гардад. Ин осебпазирӣ танҳо дар версияи 2.4.49 низ пайдо мешавад. Ҳамчун як роҳи ҳалли амният, шумо метавонед дастгирии протоколи HTTP/2-ро хомӯш кунед.
Манбаъ: opennet.ru