Apache 2.4.50 http sunucusuna yönelik acil bir güncelleme oluşturuldu; bu güncelleme, halihazırda aktif olarak yararlanılan ve sitenin kök dizini dışındaki alanlardan dosyalara erişime izin veren 0 günlük güvenlik açığını (CVE-2021-41773) ortadan kaldırıyor. Güvenlik açığını kullanarak, http sunucusunun altında çalıştığı kullanıcı tarafından okunabilen rastgele sistem dosyalarını ve web komut dosyalarının kaynak metinlerini indirmek mümkündür. Geliştiricilere sorun 17 Eylül'de bildirildi ancak güvenlik açığının web sitelerine saldırmak için kullanıldığı vakaları ağda kaydedildikten sonra güncellemeyi ancak bugün yayınlayabildiler.
Güvenlik açığı tehlikesini azaltmak, sorunun yalnızca yakın zamanda yayımlanan 2.4.49 sürümünde ortaya çıkması ve önceki tüm sürümleri etkilememesidir. Muhafazakar sunucu dağıtımlarının kararlı dalları henüz 2.4.49 sürümünü kullanmadı (Debian, RHEL, Ubuntu, SUSE), ancak sorun Fedora, Arch Linux ve Gentoo gibi sürekli güncellenen dağıtımların yanı sıra FreeBSD bağlantı noktalarını da etkiledi.
Güvenlik açığı, URI'lerdeki yolları normalleştirmeye yönelik kodun yeniden yazılması sırasında ortaya çıkan bir hatadan kaynaklanmaktadır; bu hata nedeniyle, bir yoldaki "%2e" ile kodlanmış bir nokta karakteri, önünde başka bir nokta olması durumunda normalleştirilmeyecektir. Böylece, istekte “.%2e/” dizisi belirtilerek ortaya çıkan yola ham “../” karakterlerinin yerleştirilmesi mümkün oldu. Örneğin, "https://example.com/cgi-bin/.%2e/.%2e/.%2e/.%2e/etc/passwd" veya "https://example.com/cgi" gibi bir istek -bin /.%2e/%2e%2e/%2e%2e/%2e%2e/etc/hosts", "/etc/passwd" dosyasının içeriğini almanıza izin verdi.
Dizinlere erişim "tümünün reddedilmesini gerektir" ayarı kullanılarak açıkça reddedilirse sorun oluşmaz. Örneğin, kısmi koruma için yapılandırma dosyasında şunları belirtebilirsiniz: hepsinin reddedilmesini gerektir
Apache httpd 2.4.50 ayrıca HTTP/2021 protokolünü uygulayan bir modülü etkileyen başka bir güvenlik açığını (CVE-41524-2) giderir. Güvenlik açığı, özel hazırlanmış bir istek göndererek boş işaretçi başvurusunu başlatmayı ve sürecin çökmesine neden olmayı mümkün kıldı. Bu güvenlik açığı yalnızca 2.4.49 sürümünde de görülüyor. Bir güvenlik çözümü olarak HTTP/2 protokolü desteğini devre dışı bırakabilirsiniz.
Kaynak: opennet.ru