มีการสร้างการอัปเดตเร่งด่วนสำหรับเซิร์ฟเวอร์ Apache 2.4.50 http ซึ่งช่วยขจัดช่องโหว่ 0 วันที่ถูกโจมตีอย่างแข็งขัน (CVE-2021-41773) ซึ่งช่วยให้สามารถเข้าถึงไฟล์จากพื้นที่นอกไดเรกทอรีรากของไซต์ เมื่อใช้ช่องโหว่นี้ คุณสามารถดาวน์โหลดไฟล์ระบบที่กำหนดเองและข้อความต้นฉบับของสคริปต์เว็บได้ ซึ่งผู้ใช้ที่เซิร์ฟเวอร์ http ใช้งานอยู่สามารถอ่านได้ นักพัฒนาได้รับแจ้งปัญหาเมื่อวันที่ 17 กันยายน แต่สามารถเผยแพร่การอัปเดตได้เฉพาะวันนี้เท่านั้น หลังจากที่กรณีของช่องโหว่ที่ใช้ในการโจมตีเว็บไซต์ถูกบันทึกบนเครือข่าย
การบรรเทาอันตรายของช่องโหว่คือปัญหาจะปรากฏเฉพาะในเวอร์ชัน 2.4.49 ที่เพิ่งเปิดตัวเท่านั้น และไม่ส่งผลกระทบต่อรุ่นก่อนหน้าทั้งหมด สาขาที่เสถียรของการแจกแจงเซิร์ฟเวอร์แบบอนุรักษ์นิยมยังไม่ได้ใช้รุ่น 2.4.49 (Debian, RHEL, Ubuntu, SUSE) แต่ปัญหาส่งผลกระทบต่อการแจกแจงที่อัปเดตอย่างต่อเนื่องเช่น Fedora, Arch Linux และ Gentoo รวมถึงพอร์ตของ FreeBSD
ช่องโหว่นี้เกิดจากข้อผิดพลาดที่เกิดขึ้นระหว่างการเขียนโค้ดใหม่สำหรับการปรับเส้นทางให้เป็นมาตรฐานใน URI เนื่องจากอักขระจุดที่เข้ารหัส "%2e" ในเส้นทางจะไม่ถูกทำให้เป็นมาตรฐานหากนำหน้าด้วยจุดอื่น ดังนั้นจึงเป็นไปได้ที่จะแทนที่อักขระดิบ “../” ลงในเส้นทางผลลัพธ์โดยระบุลำดับ “.%2e/” ในคำขอ ตัวอย่างเช่น คำขอเช่น “https://example.com/cgi-bin/.%2e/.%2e/.%2e/.%2e/etc/passwd” หรือ “https://example.com/cgi -bin /.%2e/%2e%2e/%2e%2e/%2e%2e/etc/hosts" อนุญาตให้คุณรับเนื้อหาของไฟล์ "/etc/passwd"
ปัญหาจะไม่เกิดขึ้นหากการเข้าถึงไดเรกทอรีถูกปฏิเสธอย่างชัดเจนโดยใช้การตั้งค่า "ต้องปฏิเสธทั้งหมด" ตัวอย่างเช่น สำหรับการป้องกันบางส่วน คุณสามารถระบุในไฟล์การกำหนดค่า: ต้องการให้ปฏิเสธทั้งหมด
Apache httpd 2.4.50 ยังแก้ไขช่องโหว่อื่น (CVE-2021-41524) ที่ส่งผลต่อโมดูลที่ใช้โปรโตคอล HTTP/2 ช่องโหว่ดังกล่าวทำให้สามารถเริ่มต้นการยกเลิกการอ้างอิงตัวชี้ null ได้ด้วยการส่งคำขอที่สร้างขึ้นมาเป็นพิเศษ และทำให้กระบวนการขัดข้อง ช่องโหว่นี้ยังปรากฏเฉพาะในเวอร์ชัน 2.4.49 เท่านั้น วิธีแก้ปัญหาด้านความปลอดภัย คุณสามารถปิดใช้งานการสนับสนุนโปรโตคอล HTTP/2 ได้
ที่มา: opennet.ru