Ahultasuna aurkitu du Apache http zerbitzarian

Berriki berri hori eman zen eraso bektore berria aurkitu du Apache http zerbitzariaren aurka, 2.4.50 eguneratzean adabaki gabe geratu zena eta gunearen erro-direktorioko kanpoko eremuetatik fitxategietarako sarbidea ahalbidetzen duena.

Horrez gain, ikertzaileek konfigurazio jakin batzuen aurrean modu bat aurkitu dute ez-estandarra, sistemaren fitxategiak irakurtzeaz gain exekutatu ere egin behar da zerbitzarian zure kodea urrunetik.

CVE-2021-41773 Apache HTTP zerbitzarian 2.4.50 ez da nahikoa. Erasotzaile batek bidea zeharkatzeko eraso bat erabil dezake URLak Aliasen antzeko zuzentarauek konfiguratutako direktorioetatik kanpoko fitxategietara mapatzeko. Direktorio hauetatik kanpoko fitxategiak ohiko lehenetsitako "ezeztatutako guztiak" ezarpenen bidez babestuta ez badaude, eskaera hauek arrakastatsuak izan daitezke. Aliatutako adabaki hauetarako CGI scriptak ere gaituta badaude, horrek urruneko kodea exekutatzea baimendu dezake. Arazo honek Apache 2.4.49 eta Apache 2.4.50-i bakarrik eragiten die eta ez aurreko bertsioei.

Funtsean, arazo berria (dagoeneko CVE-2021-42013 gisa zerrendatuta dago) jatorrizko zaurgarritasunaren guztiz antzekoa da (CVE-2021-41773) 2.4.49an, desberdintasun bakarra beste karaktere kodeketa batean dago.

Eta hori da bereziki, 2.4.50 bertsioan "% 2e" sekuentzia erabiltzeko aukera blokeatuta zegoen puntu bat kodetzeko, baina baiKodetze bikoitza egiteko aukera galdu dut: "%% 32% 65" sekuentzia zehaztean, zerbitzaria "% 2e" -n deskodetu da eta gero "." -N, hau da, aurreko direktoriora joateko "../" karaktereak honela kodetu daitezke ". %% 32% 65 / ».

Bi CVEak, hain zuzen ere, ia bide beraren zeharkako ahultasuna dira (bigarrena lehenengoaren konponbide osatugabea da). Bidea zeharkatzeak URI mapatu batetik soilik funtzionatzen du (adibidez, Apache "Alias" edo "ScriptAlias" zuzentarauen bidez). DocumentRoot bakarrik ez da nahikoa

Ahultasun baten ustiapenari dagokionez kode exekuzioaren bidez, hau posible da mod_cgi gaituta badago eta CGI scriptak exekutatzeko baimena duen oinarrizko bide bat erabiltzen da (adibidez, ScriptAlias ​​zuzentaraua gaituta badago edo ExecCGI bandera Aukeren zuzentarauan zehazten bada).

Aipatu da eraso arrakastatsua lortzeko ezinbesteko baldintza Apache konfigurazioan esplizituki ematea fitxategi exekutagarriekin, hala nola / bin, edo FS "/" erroan sartzeko direktorioetarako sarbidea. Sarbide hori normalean ematen ez denez, kode exekuzio erasoak ez die gutxi balio benetako sistemei.

Aldi berean, fitxategiaren edukia eskuratzearen aurkako erasoa sistema kode arbitrarioak eta web scripten iturburu testuak eskuragarri daude erabiltzaileak irakurtzeko http zerbitzaria exekutatzen ari den honetan oraindik garrantzitsua da. Eraso hori burutzeko, "Alias" edo "ScriptAlias" zuzentarauak (DocumentRoot ez da nahikoa), hala nola, "cgi-bin" bezalako direktorio bat konfiguratuta eduki behar duzu gunean.

Horrez gain, aipatzen du arazoak batez ere etengabe eguneratzen diren banaketetan eragiten duela (Rolling Releases), hala nola Fedora, Arch Linux eta Gentoo, baita FreeBSD portuetan ere.

Debian, RHEL, Ubuntu eta SUSE bezalako zerbitzarien banaketen adar egonkorretan oinarritutako Linux banaketak ez dira ahulak. Arazoa ez da agertzen direktorioetarako sarbidea esplizituki ukatzen bada »eskatzen den guztia ukatuta» ezarpena erabiliz.

Hori ere aipatzekoa da Urriaren 6tik 7ra, Cloudflarek ahultasuna aprobetxatzeko 300 saiakera baino gehiago erregistratu zituen CVE-2021-41773 eguneko. Gehienetan, eraso automatikoen ondorioz, "/cgi-bin/.%2e/.git/config", "/cgi-bin/.%2e/app/etc/local.xml" edukia eskatzen dute. "," /Cgi-bin/.% 2e / app / etc / env.php "eta" /cgi-bin/.%2e/%2e%2e/%2e%2e/etc/passwd ".

Arazoa 2.4.49 eta 2.4.50 bertsioetan bakarrik ageri da, ahultasunaren aurreko bertsioek ez dute eraginik. Ahultasunaren aldaera berria konpontzeko, Apache httpd 2.4.51 bertsioa azkar sortu zen.

Bukatzeko Horri buruz gehiago jakiteko interesa baduzu, xehetasunak kontsultatu ditzakezu Hurrengo estekan.


Artikuluaren edukia gure printzipioekin bat dator etika editoriala. Akats baten berri emateko egin klik hemen.

Idatzi lehenengo iruzkina

Utzi zure iruzkina

Zure helbide elektronikoa ez da argitaratuko. Beharrezko eremuak markatuta daude *

*

*

  1. Datuen arduraduna: Miguel Ángel Gatón
  2. Datuen xedea: SPAM kontrolatzea, iruzkinen kudeaketa.
  3. Legitimazioa: Zure baimena
  4. Datuen komunikazioa: datuak ez zaizkie hirugarrenei jakinaraziko legezko betebeharrez izan ezik.
  5. Datuak biltegiratzea: Occentus Networks-ek (EB) ostatatutako datu-basea
  6. Eskubideak: Edonoiz zure informazioa mugatu, berreskuratu eta ezabatu dezakezu.