Achọpụtara ọghọm na sava Apache http

Na nso nso a, ozi gbasara nke ahụ chọtara vector ọgụ ọhụrụ megide sava Apache http, nke na -ejikọtaghị na mmelite 2.4.50 ma na -enye ohere ịnweta faịlụ site na mpaghara na -abụghị ndekọ ndekọ saịtị ahụ.

Na mgbakwunye, ndị nchọpụta achọtala ụzọ nke, n'ihu ọnụnọ ụfọdụ na-abụghị ọkọlọtọ, ọ bụghị naanị ịgụ faịlụ sistemụ, kamakwa na -agba ọsọ dị anya koodu gị na sava ahụ.

CVE-2021-41773 na Apache HTTP Server 2.4.50 ezughi oke. Onye mwakpo nwere ike iji mwakpo ụzọ gafere map URLs na faịlụ na -abụghị akwụkwọ ntuziaka ahaziri ahazi. Ọ bụrụ na faịlụ echekwara na mpụga nke ndekọ ndị a site na ndabara "chọrọ ka agọnarị" ntọala niile, arịrịọ ndị a nwere ike ịga nke ọma. Ọ bụrụ na enyerekwa edemede CGI maka akara ndị a na -enweghị aha, nke a nwere ike ikwe ka ogbugbu koodu dịpụrụ adịpụ. Okwu a na -emetụta naanị Apache 2.4.49 na Apache 2.4.50 ọ bụghị ụdị nke mbụ.

Na isi, nsogbu ọhụrụ (edepụtaralarị dị ka CVE-2021-42013) ọ bụ kpamkpam yiri na mbụ vulnerability (CVE-2021-41773) na 2.4.49, naanị ihe dị iche bụ na ngbanwe agwa dị iche.

Ma ọ bụ na ọkachasị, na ụdị 2.4.50 a ga -egbochi ohere iji usoro "% 2e" iji tinye otu isi okwu, mana eee tụfuru ohere nke itinye koodu abụọ: Mgbe ị na -akọwa usoro "%% 32% 65", sava ahụ debanyere na "% 2e", wee banye na ".", Nke ahụ bụ Ihe odide "../" iji gaa na ndekọ ndekọ gara aga nwere ike itinye koodu dị ka ". %% 32% 65 / ».

CVE abụọ a bụ ihe fọrọ nke nta ka ọ bụrụ otu ọghọm na -agafe agafe (nke abụọ bụ ndozi ezughị ezu maka nke mbụ). Ntugharị ụzọ na -arụ ọrụ naanị site na eserese URI (dịka ọmụmaatụ, site na ntuziaka Apache "Alias" ma ọ bụ "ScriptAlias"). DocumentRoot naanị ya ezughị

Banyere nrigbu nke adịghị ike site na itinye koodu, nke a ga -ekwe omume ma ọ bụrụ na agbanyere mod_cgi na a na -eji ụzọ ntọala nke enyere CGI scripts ka ọ na -agba ọsọ (dịka ọmụmaatụ, ọ bụrụ na agbanyere ntuziaka ScriptAlias ​​ma ọ bụ akọwapụtara ọkọlọtọ ExecCGI na ntuziaka Nhọrọ).

A kpọtụrụ aha na ihe dị mkpa maka mwakpo na -aga nke ọma bụkwa inye n'ụzọ doro anya na Apache nhazi ohere ịnweta akwụkwọ ndekọ aha nwere faịlụ arụ ọrụ, dị ka / bin, ma ọ bụ nweta mgbọrọgwụ FS " /". Ebe ọ bụ na a naghị enyekarị ohere dị otú ahụ, mwakpo ogbugbu koodu abaghị uru na sistemụ n'ezie.

N'otu oge ahụ, mwakpo a na -enweta ọdịnaya faịlụ Koodu sistemụ aka ike na ederede isi mmalite nke edemede weebụ dị maka ịgụ akwụkwọ nke sava http na -arụ ọrụ ka bara uru. Iji mee mwakpo dị otu a, naanị nwee ndekọ aha na saịtị ahaziri site na iji ntuziaka "Alias" ma ọ bụ "ScriptAlias" (DocumentRoot ezughị), dị ka "cgi-bin".

Na mgbakwunye na nke ahụ, ọ na -ekwupụta na nsogbu a na -emetụta nkesa na -emelite emelitere (Rolling Releases) dị ka Fedora, Arch Linux na Gentoo, yana ọdụ ụgbọ mmiri FreeBSD.

Ọ bụ ezie na nkesa Linux nke dabere na ngalaba siri ike nke nkesa nkesa dịka Debian, RHEL, Ubuntu na SUSE adịghị emerụ ahụ. Nsogbu ahụ apụtaghị ma ọ bụrụ na agọnarị n'ụzọ doro anya ịnweta akwụkwọ ndekọ aha chọrọ 'ntọala niile agọnarị'.

Okwesiri ikwusi nke ahu N'October 6-7, Cloudflare dekọrọ ihe karịrị mbọ 300 iji mee ihe adịghị ike CVE-2021-41773 kwa ụbọchị. Ọtụtụ oge, n'ihi mwakpo akpaaka, ha na-arịọ ọdịnaya nke "/cgi-bin/.%2e/.git/config", "/cgi-bin/.%2e/app/etc/local.xml "," /Cgi-bin/.% 2e/app/etc/env.php "na" /cgi-bin/.%2e/%2e%2e/%2e%2e/etc/passwd ".

Nsogbu a na -egosipụta naanị na ụdị 2.4.49 na 2.4.50, emetụtaghị ụdị nke adịghị ike gara aga. Iji dozie ụdị adịghị ike ọhụrụ a, ewepụtara ngwa ngwa Apache httpd 2.4.51.

Finalmente Ọ bụrụ na ị nwere mmasị ịmatakwu banyere ya, ị nwere ike ịlele nkọwa Na njikọ na-esonụ.


Ọdịnaya nke isiokwu agbaso ụkpụrụ anyị nke ụkpụrụ nduzi. Kpesa mmejọ pịa ebe a.

Bụrụ onye mbụ ịza ajụjụ

Hapu okwu gi

Adreesị email gị agaghị bipụtara. Chọrọ ubi na-akara na *

*

*

  1. Rụ ọrụ maka data: Miguel Ángel Gatón
  2. Nzube nke data: Nchịkwa SPAM, njikwa okwu.
  3. Ikike: Nkwenye gị
  4. Nkwurịta okwu nke data: Agaghị agwa ndị ọzọ data ahụ ma ọ bụghị site na iwu.
  5. Nchekwa data: Ebe nchekwa data nke Occentus Networks (EU) kwadoro
  6. Ikike: Oge obula inwere ike igbachi, weghachite ma hichapụ ihe omuma gi.