A ti rii fekito ikọlu tuntun fun olupin Apache http, eyiti ko ṣe atunṣe ni imudojuiwọn 2.4.50 ati gba iraye si awọn faili lati awọn agbegbe ni ita itọsọna gbongbo aaye naa. Ni afikun, awọn oniwadi ti rii ọna ti o fun laaye laaye, niwaju awọn eto ti kii ṣe deede, kii ṣe lati ka awọn faili eto nikan, ṣugbọn tun lati ṣiṣẹ koodu wọn latọna jijin lori olupin naa. Iṣoro naa han nikan ni awọn idasilẹ 2.4.49 ati 2.4.50; awọn ẹya iṣaaju ko kan. Lati yọkuro ailagbara tuntun, Apache httpd 2.4.51 ti ni idasilẹ ni kiakia.
Ni ipilẹ rẹ, iṣoro tuntun (CVE-2021-42013) jẹ iru patapata si ailagbara atilẹba (CVE-2021-41773) ni 2.4.49, iyatọ nikan ni iyipada ti o yatọ ti awọn ohun kikọ “…”. Ni pataki, ni itusilẹ 2.4.50 agbara lati lo ọna “% 2e” lati ṣe koodu aaye kan ti dina, ṣugbọn o ṣeeṣe ti fifi koodu ilọpo meji ti o padanu - nigbati o n ṣalaye ọkọọkan “%% 32% 65”, olupin naa pinnu rẹ. sinu "%2e" ati lẹhinna sinu ".", i.e. awọn ohun kikọ "../" lati lọ si itọsọna iṣaaju le jẹ kooduopo bi ".%%32%65/".
Bi fun ilokulo ailagbara nipasẹ ipaniyan koodu, eyi ṣee ṣe nigbati mod_cgi ti mu ṣiṣẹ ati pe o ti lo ọna ipilẹ ninu eyiti a gba laaye ipaniyan ti awọn iwe afọwọkọ CGI (fun apẹẹrẹ, ti o ba mu ilana ScriptAlias ṣiṣẹ tabi asia ExecCGI ni pato ninu Awọn itọsọna aṣayan). Ibeere ti o jẹ dandan fun ikọlu aṣeyọri tun jẹ lati pese iraye si awọn ilana ni gbangba pẹlu awọn faili ṣiṣe, bii / bin, tabi iraye si gbongbo eto faili “/” ni awọn eto Apache. Niwọn igba ti iru iraye si kii ṣe funni ni igbagbogbo, awọn ikọlu ipaniyan koodu ni ohun elo kekere si awọn eto gidi.
Ni akoko kanna, ikọlu lati gba awọn akoonu ti awọn faili eto lainidii ati awọn ọrọ orisun ti awọn iwe afọwọkọ wẹẹbu, ti olumulo le ṣee ṣe labẹ eyiti olupin http n ṣiṣẹ, jẹ iwulo. Lati ṣe iru ikọlu bẹẹ, o to lati ni itọsọna kan lori aaye ti a tunto ni lilo awọn itọsọna “Alias” tabi “ScriptAlias” (DocumentRoot ko to), bii “cgi-bin”.
Apeere ti ilokulo ti o fun ọ laaye lati ṣiṣẹ ohun elo “id” lori olupin naa: curl 'http://192.168.0.1/cgi-bin/.%%32%65/.%%32%65/.%% 32%65/.%% 32%65/.%%32%65/bin/sh' —data 'echo Akoonu-Iru: ọrọ/pẹtẹlẹ; iwoyi; id' uid=1(daemon) gid=1(daemon) awọn ẹgbẹ=1(daemon)
Apeere ti awọn ilokulo ti o fun ọ laaye lati ṣafihan awọn akoonu ti / ati be be lo / passwd ati ọkan ninu awọn iwe afọwọkọ wẹẹbu (lati ṣejade koodu iwe afọwọkọ, ilana ti a ṣalaye nipasẹ itọsọna “Alias”, eyiti ko ṣiṣẹ ipaniyan iwe afọwọkọ, gbọdọ wa ni pato. bi awọn ipilẹ liana): curl 'http://192.168.0.1 .32/cgi-bin/.%%65%32/.%%65%32/.%%65%32/.%%65%32/.% %65%192.168.0.1/etc/passwd' curl 'http: //32/aliaseddir/.%%65%32/.%%65%32/.%%65%32/.%%65%32/. %% 65% 2/usr/agbegbe/apacheXNUMX/cgi -bin/test.cgi'
Iṣoro naa ni pataki ni ipa lori awọn pinpin imudojuiwọn nigbagbogbo gẹgẹbi Fedora, Arch Linux ati Gentoo, ati awọn ebute oko oju omi ti FreeBSD. Awọn idii ninu awọn ẹka iduroṣinṣin ti awọn pinpin olupin Konsafetifu Debian, RHEL, Ubuntu ati SUSE ko ni ipa nipasẹ ailagbara naa. Iṣoro naa ko waye ti iraye si awọn ilana ti kọ ni gbangba nipa lilo eto “beere gbogbo sẹ”.
orisun: opennet.ru