ProHoster > Blog > balita sa internet > Ang kahinaan sa Apache 2.4.49 http server na nagbibigay-daan sa iyong makatanggap ng mga file sa labas ng ugat ng site

Ang kahinaan sa Apache 2.4.49 http server na nagbibigay-daan sa iyong makatanggap ng mga file sa labas ng ugat ng site

Ang isang agarang pag-update sa Apache 2.4.50 http server ay nalikha, na nag-aalis ng isang aktibong pinagsamantalahan na 0-araw na kahinaan (CVE-2021-41773), na nagbibigay-daan sa pag-access sa mga file mula sa mga lugar sa labas ng root directory ng site. Gamit ang kahinaan, posibleng mag-download ng mga di-makatwirang mga file ng system at pinagmulang teksto ng mga script sa web, na nababasa ng user kung saan tumatakbo ang http server. Ang mga developer ay naabisuhan tungkol sa problema noong Setyembre 17, ngunit nagawang ilabas ang update ngayon lamang, pagkatapos na maitala sa network ang mga kaso ng kahinaan na ginagamit sa pag-atake sa mga website.

Ang pagpapagaan sa panganib ng kahinaan ay ang problema ay lumalabas lamang sa kamakailang inilabas na bersyon 2.4.49 at hindi nakakaapekto sa lahat ng naunang release. Ang mga matatag na sangay ng konserbatibong pamamahagi ng server ay hindi pa gumagamit ng 2.4.49 release (Debian, RHEL, Ubuntu, SUSE), ngunit ang problema ay nakaapekto sa patuloy na na-update na mga distribusyon tulad ng Fedora, Arch Linux at Gentoo, pati na rin ang mga port ng FreeBSD.

Ang kahinaan ay dahil sa isang bug na ipinakilala sa panahon ng muling pagsulat ng code para sa pag-normalize ng mga path sa mga URI, dahil sa kung saan ang isang "%2e" na naka-encode na tuldok na character sa isang path ay hindi ma-normalize kung ito ay mauunahan ng isa pang tuldok. Kaya, naging posible na palitan ang mga hilaw na "../" na character sa resultang path sa pamamagitan ng pagtukoy sa sequence na ".%2e/" sa kahilingan. Halimbawa, isang kahilingan tulad ng β€œhttps://example.com/cgi-bin/.%2e/.%2e/.%2e/.%2e/etc/passwd” o β€œhttps://example.com/cgi -bin /.%2e/%2e%2e/%2e%2e/%2e%2e/etc/hosts" ay pinahintulutan kang makuha ang mga nilalaman ng file na "/etc/passwd".

Ang problema ay hindi mangyayari kung ang pag-access sa mga direktoryo ay tahasang tinanggihan gamit ang setting na "require all denied". Halimbawa, para sa bahagyang proteksyon maaari mong tukuyin sa configuration file: nangangailangan ng lahat ng tinanggihan

Inaayos din ng Apache httpd 2.4.50 ang isa pang kahinaan (CVE-2021-41524) na nakakaapekto sa isang module na nagpapatupad ng HTTP/2 protocol. Dahil sa kahinaan, naging posible na simulan ang null pointer dereference sa pamamagitan ng pagpapadala ng espesyal na ginawang kahilingan at maging sanhi ng pag-crash ng proseso. Ang kahinaan na ito ay lumalabas lamang sa bersyon 2.4.49. Bilang solusyon sa seguridad, maaari mong i-disable ang suporta para sa HTTP/2 protocol.

Pinagmulan: opennet.ru

Magdagdag ng komento