Apache 2.4.50 http 伺服器的緊急更新已創建,消除了已積極利用的 0day 漏洞 (CVE-2021-41773),該漏洞允許從站點根目錄之外的區域存取檔案。利用該漏洞,可以下載任意系統檔案和 Web 腳本的來源文本,供執行 http 伺服器的使用者讀取。開發人員於 17 月 XNUMX 日收到有關該問題的通知,但直到今天才發布更新,因為網路上記錄了該漏洞被用來攻擊網站的案例。
減輕該漏洞危險的是,該問題僅出現在最近發布的2.4.49版本中,並不會影響所有早期版本。保守伺服器發行版的穩定分支尚未使用2.4.49版本(Debian、RHEL、Ubuntu、SUSE),但問題影響了不斷更新的發行版,例如Fedora、Arch Linux和Gentoo,以及FreeBSD的移植。
此漏洞是由於重寫 URI 中路徑規範化程式碼時引入的錯誤造成的,因此,如果路徑中的「%2e」編碼點字元前面有另一個點,則該字元不會被規範化。因此,可以透過在請求中指定序列“.%2e/”來將原始“../”字元替換到結果路徑中。例如,類似「https://example.com/cgi-bin/.%2e/.%2e/.%2e/.%2e/etc/passwd」或「https://example.com/cgi -bin / .%2e/%2e%2e/%2e%2e/%2e%2e/etc/hosts" 允許您取得檔案「/etc/passwd」的內容。
如果使用「要求全部拒絕」設定明確拒絕對目錄的訪問,則不會出現此問題。例如,對於部分保護,您可以在設定檔中指定:要求全部拒絕
Apache httpd 2.4.50 也修正了另一個影響實作 HTTP/2021 協定的模組的漏洞 (CVE-41524-2)。該漏洞使得可以透過發送特製請求來啟動空指標取消引用並導致進程崩潰。該漏洞也僅出現在2.4.49版本。作為安全解決方法,您可以停用對 HTTP/2 協定的支援。
來源: opennet.ru