Imudojuiwọn iyara kan si olupin Apache 2.4.50 http ti ṣẹda, eyiti o yọkuro ailagbara ọjọ-ọjọ 0 ti a ti ṣiṣẹ tẹlẹ (CVE-2021-41773), eyiti o fun laaye iwọle si awọn faili lati awọn agbegbe ni ita itọsọna gbongbo aaye naa. Lilo ailagbara, o ṣee ṣe lati ṣe igbasilẹ awọn faili eto lainidii ati awọn ọrọ orisun ti awọn iwe afọwọkọ wẹẹbu, kika nipasẹ olumulo labẹ ẹniti olupin http n ṣiṣẹ. Awọn olupilẹṣẹ naa ni ifitonileti ti iṣoro naa ni Oṣu Kẹsan Ọjọ 17, ṣugbọn ni anfani lati tu imudojuiwọn naa silẹ loni, lẹhin awọn ọran ti ailagbara ti a lo lati kọlu awọn oju opo wẹẹbu ti gbasilẹ lori nẹtiwọọki.
Dinku eewu ti ailagbara ni pe iṣoro naa han nikan ni ẹya ti a ti tu silẹ laipẹ 2.4.49 ati pe ko kan gbogbo awọn idasilẹ iṣaaju. Awọn ẹka iduroṣinṣin ti awọn pinpin olupin Konsafetifu ko tii lo itusilẹ 2.4.49 (Debian, RHEL, Ubuntu, SUSE), ṣugbọn iṣoro naa kan awọn pinpin imudojuiwọn nigbagbogbo gẹgẹbi Fedora, Arch Linux ati Gentoo, ati awọn ebute oko oju omi ti FreeBSD.
Ailagbara naa jẹ nitori kokoro ti a ṣe afihan lakoko atunko koodu fun awọn ipa-ọna deede ni awọn URI, nitori eyiti “% 2e” aami aami kikọ silẹ ni ọna kan kii yoo ṣe deede ti o ba jẹ ami ami miiran ṣaaju. Nitorinaa, o ṣee ṣe lati paarọ awọn ohun kikọ “../” aise sinu ọna ti o yọrisi nipa sisọ ọna “.% 2e/” ninu ibeere naa. Fun apẹẹrẹ, ibeere bii “https://example.com/cgi-bin/.%2e/.%2e/.%2e/.%2e/etc/passwd” tabi “https://example.com/cgi -bin /.% 2e/% 2e%2e/%2e%2e/%2e%2e/etc/hosts" gba ọ laaye lati gba awọn akoonu inu faili "/etc/passwd".
Iṣoro naa ko waye ti iraye si awọn ilana ti kọ ni gbangba nipa lilo eto “beere gbogbo sẹ”. Fun apẹẹrẹ, fun aabo apa kan o le pato ninu faili iṣeto ni: beere gbogbo sẹ
Apache httpd 2.4.50 tun ṣe atunṣe ailagbara miiran (CVE-2021-41524) ti o kan module ti n ṣe ilana ilana HTTP/2. Ailagbara jẹ ki o ṣee ṣe lati pilẹṣẹ ifasilẹ itọka asan nipa fifiranṣẹ ibeere ti a ṣe ni pataki ati fa ki ilana naa ṣubu. Ailagbara yii tun han nikan ni ẹya 2.4.49. Gẹgẹbi iṣẹ aabo aabo, o le mu atilẹyin fun ilana HTTP/2 kuro.
orisun: opennet.ru