अलीकडेच बातमीने ती फोडली अपाचे http सर्व्हरवर नवीन हल्ला वेक्टर सापडला, जे 2.4.50 अद्यतनामध्ये न जुळलेले राहिले आणि साइटच्या मूळ निर्देशिकेच्या बाहेरील भागांमधून फाइल प्रवेशास अनुमती देते.
याव्यतिरिक्त, संशोधक काही कॉन्फिगरेशनच्या उपस्थितीत एक मार्ग सापडला आहे अ-मानक, केवळ सिस्टम फायली वाचत नाही तर चालवा सर्व्हरवर दूरस्थपणे आपला कोड.
अपाचे HTTP सर्व्हर 2021 वर CVE-41773-2.4.50 अपुरे होते. उपनाम सारख्या निर्देशांद्वारे कॉन्फिगर केलेल्या निर्देशिकांच्या बाहेरील फायलींवर URL मॅप करण्यासाठी हल्लेखोर मार्ग ट्रॅव्हर्सल हल्ला वापरू शकतो. जर या निर्देशिकांच्या बाहेरील फायली नेहमीच्या डीफॉल्ट "सर्व नाकारलेल्या" सेटिंग्जद्वारे संरक्षित नसतील तर या विनंत्या यशस्वी होऊ शकतात. जर या उपनाम पॅचसाठी CGI स्क्रिप्ट सक्षम केले असतील, तर हे रिमोट कोड कार्यान्वित करण्यास अनुमती देऊ शकते. हा मुद्दा फक्त अपाचे 2.4.49 आणि अपाचे 2.4.50 वर परिणाम करतो आणि पूर्वीच्या आवृत्त्यांवर नाही.
मतितार्थ असा की, नवीन समस्या (आधीच CVE-2021-42013 म्हणून सूचीबद्ध) हे पूर्णपणे मूळ असुरक्षिततेसारखे आहे (CVE-2021-41773) 2.4.49 वर, फरक फक्त भिन्न वर्ण एन्कोडिंगमध्ये आहे.
आणि ते म्हणजे विशेषतः, आवृत्ती 2.4.50 मध्ये "% 2e" अनुक्रम वापरण्याची शक्यता अवरोधित केली गेली बिंदू एन्कोड करण्यासाठी, पण होयe दुहेरी एन्कोडिंगची शक्यता गमावली: "%% 32% 65" हा क्रम निर्दिष्ट करताना, सर्व्हरने "% 2e" मध्ये डीकोड केले आहे, आणि नंतर "." मध्ये, म्हणजे "../" ही अक्षरे मागील निर्देशिकेत जाण्यासाठी "म्हणून एन्कोड केली जाऊ शकतात. %% 32% 65 /.
दोन्ही सीव्हीई प्रत्यक्षात जवळजवळ समान मार्ग ट्रॅव्हर्सल असुरक्षितता आहेत (दुसरा पहिल्यासाठी अपूर्ण निराकरण आहे). पथ ट्रॅव्हर्सल केवळ मॅप केलेल्या यूआरआय वरून कार्य करते (उदाहरणार्थ, अपाचे "एलियास" किंवा "स्क्रिप्ट अलियास" निर्देशांद्वारे). केवळ DocumentRoot पुरेसे नाही
अगतिकतेच्या शोषणाबाबत कोड अंमलबजावणीद्वारे, mod_cgi सक्षम असल्यास हे शक्य आहे आणि एक आधार मार्ग वापरला जातो ज्यामध्ये CGI स्क्रिप्ट चालवण्याची परवानगी दिली जाते (उदाहरणार्थ, ScriptAlias निर्देश सक्षम असल्यास किंवा ExecCGI ध्वज पर्याय निर्देशात निर्दिष्ट केले असल्यास).
हे नमूद केले आहे की यशस्वी हल्ल्यासाठी एक पूर्व शर्त म्हणजे अपाचे कॉन्फिगरेशनमध्ये एक्झिक्युटेबल फायलींसह / बिन सारख्या निर्देशिकांमध्ये प्रवेश प्रदान करणे किंवा एफएस रूट " /" मध्ये प्रवेश करणे. असा normallyक्सेस साधारणपणे पुरवला जात नसल्यामुळे, कोड एक्झिक्युशन अटॅकचा वास्तविक यंत्रणांना फारसा उपयोग होत नाही.
RCE Apache 2.4.49 (CVE-2021-41773) आणि 2.4.50 (CVE-2021-42013) दोन्हीसाठी शोषण करते:
रूट @ CT406: ~ # कर्ल 'http://192.168.0.191/cgi-bin/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.% % 32% 65 / bin / sh 'atadata' इको सामग्री-प्रकार: मजकूर / साधा; बाहेर फेकले; जा '
uid = 1 (डिमन) gid = 1 (डिमन) गट = 1 (डिमन)- ☠ रोमन मेदिना-हेगल हर्नांडेझ (manroman_soft) ऑक्टोबर 7, 2021
त्याच वेळी फाइल सामग्री मिळवण्यावर हल्ला अनियंत्रित प्रणाली कोड आणि वेब स्क्रिप्टचे स्त्रोत ग्रंथ जे वापरकर्त्याच्या वाचनासाठी उपलब्ध आहेत ज्या अंतर्गत http सर्व्हर चालू आहे तो अजूनही संबंधित आहे. असा हल्ला करण्यासाठी, "cgi-bin" सारख्या "Alias" किंवा "ScriptAlias" निर्देश (DocumentRoot पुरेसे नाही) वापरून कॉन्फिगर केलेल्या साइटवर फक्त एक निर्देशिका ठेवा.
त्या व्यतिरिक्त, तो नमूद करतो की समस्या प्रामुख्याने सतत अद्ययावत वितरण (रोलिंग रिलीज) जसे की फेडोरा, आर्क लिनक्स आणि जेंटू तसेच फ्रीबीएसडी पोर्ट्सवर परिणाम करते.
डेबियन, आरएचईएल, उबंटू आणि एसयूएसई सारख्या सर्व्हर वितरणाच्या स्थिर शाखांवर आधारित लिनक्स वितरण असुरक्षित नाहीत. »जर सर्व नाकारले पाहिजे« सेटिंग वापरून निर्देशिकांमध्ये प्रवेश स्पष्टपणे नाकारला गेला तर समस्या दिसून येत नाही.
हे देखील उल्लेखनीय आहे 6-7 ऑक्टोबर रोजी, क्लाउडफ्लेअरने 300 पेक्षा जास्त असुरक्षिततेचा वापर करण्याचे प्रयत्न नोंदवले CVE-2021-41773 प्रतिदिन. बहुतेक वेळा, स्वयंचलित हल्ल्याचा परिणाम म्हणून, ते "/cgi-bin/.%2e/.git/config", "/cgi-bin/.%2e/app/etc/local.xml च्या सामग्रीची विनंती करतात. "," /Cgi-bin/.% 2e/app/etc/env.php "आणि" /cgi-bin/.%2e/%2e%2e/%2e%2e/etc/passwd ".
समस्या केवळ आवृत्ती 2.4.49 आणि 2.4.50 मध्ये प्रकट होते, अगतिकतेच्या मागील आवृत्त्या प्रभावित होत नाहीत. भेद्यतेच्या नवीन प्रकाराचे निराकरण करण्यासाठी, अपाचे httpd 2.4.51 प्रकाशन त्वरीत तयार झाले.
शेवटी आपल्याला त्याबद्दल अधिक जाणून घेण्यात स्वारस्य असल्यास, आपण तपशील तपासू शकता पुढील लिंकवर