Apache 2.4.50 http 服务器的紧急更新已经创建,消除了一个已经被积极利用的 0day 漏洞 (CVE-2021-41773),该漏洞允许从站点根目录之外的区域访问文件。 利用该漏洞,可以下载任意系统文件和 Web 脚本的源文本,供运行 http 服务器的用户读取。 开发人员于 17 月 XNUMX 日收到有关该问题的通知,但直到今天才发布更新,因为网络上记录了该漏洞被用来攻击网站的案例。
减轻该漏洞危险的是,该问题仅出现在最近发布的2.4.49版本中,并不影响所有早期版本。 保守服务器发行版的稳定分支尚未使用2.4.49版本(Debian、RHEL、Ubuntu、SUSE),但该问题影响了不断更新的发行版,例如Fedora、Arch Linux和Gentoo,以及FreeBSD的移植。
该漏洞是由于重写用于规范化 URI 中的路径的代码时引入的错误造成的,因此,如果路径中的“%2e”编码点字符前面有另一个点,则该字符不会被规范化。 因此,可以通过在请求中指定序列“.%2e/”来将原始“../”字符替换到结果路径中。 例如,类似“https://example.com/cgi-bin/.%2e/.%2e/.%2e/.%2e/etc/passwd”或“https://example.com/cgi -bin /.%2e/%2e%2e/%2e%2e/%2e%2e/etc/hosts" 允许您获取文件“/etc/passwd”的内容。
如果使用“要求全部拒绝”设置显式拒绝对目录的访问,则不会出现此问题。 例如,对于部分保护,您可以在配置文件中指定: 要求全部拒绝
Apache httpd 2.4.50 还修复了另一个影响实现 HTTP/2021 协议的模块的漏洞 (CVE-41524-2)。 该漏洞使得可以通过发送特制请求来启动空指针取消引用并导致进程崩溃。 该漏洞也仅出现在2.4.49版本中。 作为一种安全解决方法,您可以禁用对 HTTP/2 协议的支持。
来源: opennet.ru