Apache 2.4.50 http 伺服器已發布緊急更新,該更新修復了一個已被積極利用的零日漏洞 (CVE-0-2021),該漏洞允許存取網站根目錄以外的檔案。利用該漏洞,攻擊者可以下載任意系統檔案和 Web 腳本的來源文本,並讓執行 http 伺服器的使用者讀取。開發人員於 41773 月 17 日收到了該問題的通知,但直到今天,在網路上記錄到利用該漏洞攻擊網站的案例後,才得以發布更新。
漏洞的嚴重性因以下事實而有所緩解:該問題僅在最近發布的 2.4.49 版本中出現,並不會影響所有早期版本。 2.4.49 版本尚未在保守伺服器發行版的穩定分支中使用(DebianRHEL, Ubuntu(例如 SUSE),但這個問題也影響了像 Fedora、Arch 等持續更新的發行版。 Linux 以及 Gentoo 和 FreeBSD 移植版。
該漏洞是由於在重寫 URI 路徑規範化程式碼時引入的一個錯誤造成的,該錯誤導致使用序列「%2e」編碼的路徑中的點字元如果前面有另一個點,則不會被規範化。因此,透過在請求中指定序列“.%2e/”,可以將結果路徑中未經過處理的“../”字元替換掉。例如,類似「https://example.com/cgi-bin/.%2e/.%2e/.%2e/.%2e/.%2e/etc/passwd」或「https://example.com/cgi-bin/.%2e/%2e%2
如果使用「require all denied」設定明確拒絕存取目錄,則不會出現此問題。例如,為了實現部分保護,您可以在設定檔中指定:要求全部拒絕
Apache httpd 2.4.50 也修復了另一個漏洞 (CVE-2021-41524),該漏洞影響實作 HTTP/2 協定的模組。該漏洞允許發送特製請求來啟動空指標取消引用並導致進程崩潰。此漏洞也僅出現在 2.4.49 版本。您可以停用 HTTP/2 支援作為臨時解決方法。
來源: opennet.ru
