Trong máy chủ http (nhttpd) sự dễ bị tổn thương
(CVE-2019-16278), cho phép kẻ tấn công thực thi mã từ xa trên máy chủ bằng cách gửi yêu cầu HTTP được tạo đặc biệt. Sự cố sẽ được khắc phục trong bản phát hành (chưa được xuất bản). Đánh giá theo thông tin từ công cụ tìm kiếm Shodan, máy chủ Nostromo http được sử dụng trên khoảng 2000 máy chủ có thể truy cập công khai.
Lỗ hổng này xảy ra do lỗi trong hàm http_verify, lỗi này làm mất quyền truy cập vào nội dung hệ thống tệp bên ngoài thư mục gốc của trang web bằng cách chuyển chuỗi ".%0d./" trong đường dẫn. Lỗ hổng xảy ra do quá trình kiểm tra sự hiện diện của các ký tự “../” được thực hiện trước khi thực thi chức năng chuẩn hóa đường dẫn, trong đó các ký tự dòng mới (%0d) bị xóa khỏi chuỗi.
vì bị tổn thương, bạn có thể truy cập /bin/sh thay vì tập lệnh CGI và thực thi bất kỳ cấu trúc shell nào bằng cách gửi yêu cầu POST tới URI “/.%0d./.%0d./.%0d./.%0d./bin /sh " và chuyển các lệnh trong phần thân của yêu cầu. Điều thú vị là vào năm 2011, một lỗ hổng tương tự (CVE-2011-0751) đã được sửa trong Nostromo, cho phép tấn công bằng cách gửi yêu cầu “/..%2f..%2f..%2fbin/sh”.
Nguồn: opennet.ru