In kwetsberens fûn yn 'e Apache http -tsjinner

Koartlyn bruts it nijs dat fûn in nije oanfalsvektor tsjin de Apache http -tsjinner, dy't unpatched bleau yn 'e 2.4.50 -fernijing en tagong jout ta bestannen fan gebieten bûten de root -map fan' e side.

Derneist, de ûndersikers hawwe in manier fûn dat, yn 'e oanwêzigens fan bepaalde konfiguraasjes net-standert, net allinich de systeembestannen lêze, mar ek útfiere op ôfstân jo koade op 'e server.

CVE-2021-41773 op Apache HTTP-tsjinner 2.4.50 wie net genôch. In oanfaller koe in paad trochgeande oanfal brûke om URL's yn kaart te bringen nei bestannen bûten mappen konfigureare troch rjochtlinen gelyk oan Aliassen. As bestannen bûten dizze mappen net wurde beskerme troch de gewoane standert "fereasket alle wegere" ynstellingen, kinne dizze fersiken suksesfol wêze. As CGI -skripts ek binne ynskeakele foar dizze aliasde patches, kin dit útfiering fan koade op ôfstân mooglik meitsje. Dit probleem hat allinich ynfloed op Apache 2.4.49 en Apache 2.4.50 en net earder ferzjes.

Yn essinsje, it nije probleem (al neamd as CVE-2021-42013) it is folslein gelyk oan 'e orizjinele kwetsberens (CVE-2021-41773) om 2.4.49, it iennige ferskil is yn in oare karakterkodearring.

En it is dat yn it bysûnder, yn ferzje 2.4.50 waard de mooglikheid foar it brûken fan de folchoarder "% 2e" blokkearre om in punt te kodearjen, mar jae ferlear de mooglikheid fan dûbele kodearring: As jo ​​de folchoarder "%% 32% 65" spesifisearje, kin de tsjinner yn "% 2e", en dan yn ".", Dekodeare, dat is De tekens "../" om nei de foarige map te gean kinne wurde kodearre as ". %% 32% 65 / ».

Beide CVE's binne yn feite hast deselde kwetsberens foar traversal paad (de twadde is de ûnfolsleine oplossing foar de earste). Paadtraversal wurket allinich út in mapped URI (bygelyks fia Apache "Alias" of "ScriptAlias" rjochtlinen). DocumentRoot allinich is net genôch

Oangeande de eksploitaasje fan in kwetsberens troch útfiering fan koade, dit is mooglik as mod_cgi ynskeakele is en in basispaad wurdt brûkt wêryn CGI -skripts kinne wurde útfierd (bygelyks as de ScriptAlias ​​-rjochtline is ynskeakele as de ExecCGI -flagge is opjûn yn 'e Opsjes -rjochtline).

It wurdt neamd dat in betingst foar in suksesfolle oanfal ek is om eksplisyt tagong te jaan yn 'e Apache -konfiguraasje tagong ta mappen mei útfierbere bestannen, lykas / bin, as tagong ta de FS -root " /". Om't sokke tagong normaal net wurdt levere, is in oanfal op koade -útfiering fan min nut foar echte systemen.

Tagelyk de oanfal op it krijen fan bestânynhâld willekeurige systeemcodes en boarneteksten fan webskripten dy't binne beskikber foar brûkerslêzing ûnder hokker de http -tsjinner rint is noch relevant. Om sa'n oanfal út te fieren, hawwe gewoan in map op 'e side konfigureare mei de "Alias" of "ScriptAlias" rjochtlinen (DocumentRoot is net genôch), lykas "cgi-bin".

Neist dat neamt hy dat it probleem foaral ynfloed hat op kontinu bywurke distribúsjes (Rolling Releases) lykas Fedora, Arch Linux en Gentoo, lykas FreeBSD -poarten.

Wylst Linux -distribúsjes dy't binne basearre op stabile tûken fan serverdistribúsjes lykas Debian, RHEL, Ubuntu en SUSE net kwetsber binne. It probleem ferskynt net as tagong ta mappen eksplisyt wurdt wegere troch de "fereaskje alle wegere" ynstelling.

It is dat ek te neamen wurdich Op 6-7 oktober registrearre Cloudflare mear dan 300 besykjen om de kwetsberens te brûken CVE-2021-41773 per dei. Meastentiids, as gefolch fan automatisearre oanfallen, freegje se de ynhâld fan "/cgi-bin/.%2e/.git/config", "/cgi-bin/.%2e/app/etc/local.xml "," /Cgi-bin/.% 2e/app/etc/env.php "en" /cgi-bin/.%2e/%2e%2e/%2e%2e/etc/passwd ".

It probleem ferskynt allinich yn ferzjes 2.4.49 en 2.4.50, foarige ferzjes fan 'e kwetsberens wurde net beynfloede. Om de nije fariant fan 'e kwetsberens op te lossen, waard de Apache httpd 2.4.51 -release fluch foarme.

finalmente As jo ​​ynteressearre binne om der mear oer te witten, kinne jo de details kontrolearje Yn 'e folgjende link.


De ynhâld fan it artikel hâldt him oan ús prinsipes fan redaksje etyk, Om in flater te melden klikje hjir.

Wês de earste om kommentaar

Lit jo reaksje efter

Jo e-mailadres wurdt net publisearre. Ferplichte fjilden binne markearre mei *

*

*

  1. Ferantwurdlik foar de gegevens: Miguel Ángel Gatón
  2. Doel fan 'e gegevens: Control SPAM, kommentaarbehear.
  3. Legitimaasje: jo tastimming
  4. Kommunikaasje fan 'e gegevens: De gegevens wurde net oan tredden kommunisearre, útsein troch wetlike ferplichting.
  5. Gegevensopslach: Databank hoste troch Occentus Networks (EU)
  6. Rjochten: Op elk momint kinne jo jo ynformaasje beheine, herstelle en wiskje.