Een kwetsbaarheid gevonden in de Apache http-server

Dat maakte onlangs het nieuws bekend een nieuwe aanvalsvector gevonden tegen de Apache http-server, die ongepatcht bleef in de 2.4.50-update en toegang tot bestanden mogelijk maakt vanuit gebieden buiten de hoofdmap van de site.

Daarnaast hebben de onderzoekers een manier hebben gevonden die, in aanwezigheid van bepaalde configuraties niet standaard, niet alleen de systeembestanden lezen, maar ook uitvoeren uw code op afstand op de server.

CVE-2021-41773 op Apache HTTP Server 2.4.50 was onvoldoende. Een aanvaller kan een pathtraversal-aanval gebruiken om URL's toe te wijzen aan bestanden buiten mappen die zijn geconfigureerd door richtlijnen die vergelijkbaar zijn met Aliassen. Als bestanden buiten deze mappen niet worden beschermd door de gebruikelijke standaardinstellingen voor "alles geweigerd" vereisen, kunnen deze verzoeken succesvol zijn. Als CGI-scripts ook zijn ingeschakeld voor deze alias-patches, kan dit leiden tot uitvoering van externe code. Dit probleem is alleen van invloed op Apache 2.4.49 en Apache 2.4.50 en niet op eerdere versies.

In essentie, het nieuwe probleem (al vermeld als CVE-2021-42013) het is volledig vergelijkbaar met de oorspronkelijke kwetsbaarheid (CVE-2021-41773) op 2.4.49, het enige verschil zit in een andere tekencodering.

En dat is in het bijzonder in versie 2.4.50 was de mogelijkheid om de reeks "% 2e" te gebruiken geblokkeerd om een ​​punt te coderen, maar jae verloor de mogelijkheid van dubbele codering: Bij het specificeren van de reeks "%% 32% 65", wordt de server gedecodeerd in "% 2e", en vervolgens in ".", dat wil zeggen. De tekens "../" om naar de vorige map te gaan, kunnen worden gecodeerd als ". %% 32% 65 / ».

Beide CVE's zijn in feite bijna dezelfde kwetsbaarheid voor padtravers (de tweede is de onvolledige oplossing voor de eerste). Path traversal werkt alleen vanuit een toegewezen URI (bijvoorbeeld via Apache "Alias" of "ScriptAlias" richtlijnen). DocumentRoot alleen is niet genoeg

Betreffende de exploitatie van een kwetsbaarheid door code-uitvoering, dit is mogelijk als mod_cgi is ingeschakeld en er wordt een basispad gebruikt waarin CGI-scripts mogen draaien (bijvoorbeeld als de ScriptAlias-richtlijn is ingeschakeld of de ExecCGI-vlag is opgegeven in de Options-richtlijn).

Er wordt vermeld dat een voorwaarde voor een succesvolle aanval ook is om in de Apache-configuratie expliciet toegang te verlenen tot mappen met uitvoerbare bestanden, zoals /bin, of toegang tot de FS-root "/". Aangezien dergelijke toegang normaal gesproken niet wordt geboden, heeft een aanval met code-uitvoering weinig zin voor echte systemen.

Al mismo tiempo, de aanval op het verkrijgen van bestandsinhoud willekeurige systeemcodes en bronteksten van webscripts die zijn beschikbaar voor gebruikerslezing waaronder de http-server draait, is nog steeds relevant. Om een ​​dergelijke aanval uit te voeren, hoeft u alleen maar een map op de site te configureren met behulp van de richtlijnen "Alias" of "ScriptAlias" (DocumentRoot is niet genoeg), zoals "cgi-bin".

Daarnaast vermeldt hij dat het probleem voornamelijk van invloed is op continu bijgewerkte distributies (Rolling Releases) zoals Fedora, Arch Linux en Gentoo, evenals op FreeBSD-poorten.

Terwijl Linux-distributies die zijn gebaseerd op stabiele takken van de serverdistributies zoals Debian, RHEL, Ubuntu en SUSE niet kwetsbaar zijn. Het probleem doet zich niet voor als de toegang tot directory's expliciet wordt geweigerd met de instelling »vereis alles geweigerd«.

Het is ook de moeite waard om dat te vermelden Op 6-7 oktober registreerde Cloudflare meer dan 300 pogingen om de kwetsbaarheid te misbruiken CVE-2021-41773 per dag. Meestal vragen ze als gevolg van geautomatiseerde aanvallen om de inhoud van "/cgi-bin/.%2e/.git/config", "/cgi-bin/.%2e/app/etc/local.xml " , "/Cgi-bin/.% 2e / app / etc / env.php" en "/cgi-bin/.%2e/%2e%2e/%2e%2e/etc/passwd".

Het probleem manifesteert zich alleen in versies 2.4.49 en 2.4.50, eerdere versies van de kwetsbaarheid worden niet beïnvloed. Om de nieuwe variant van de kwetsbaarheid op te lossen, werd snel de Apache httpd 2.4.51-release gevormd.

Eindelijk Als u er meer over wilt weten, u kunt de details controleren In de volgende link.


Wees de eerste om te reageren

Laat je reactie achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

*

*

  1. Verantwoordelijk voor de gegevens: Miguel Ángel Gatón
  2. Doel van de gegevens: Controle SPAM, commentaarbeheer.
  3. Legitimatie: uw toestemming
  4. Mededeling van de gegevens: De gegevens worden niet aan derden meegedeeld, behalve op grond van wettelijke verplichting.
  5. Gegevensopslag: database gehost door Occentus Networks (EU)
  6. Rechten: u kunt uw gegevens op elk moment beperken, herstellen en verwijderen.