Mauaina se vaivai i le Apache http server

Talu ai nei na tala ai le talafou maua se fou osofaʻiga vector faasaga i le Apache http server, lea na tumau pea le lafoina i le 2.4.50 faʻafouga ma faʻatagaina faila ulufale mai i eria i fafo atu o le 'upega tafaʻilagi lisi autu.

I se faʻaopopoga, o le au suʻesuʻe maua se auala e, i le i ai o nisi configurations lē faʻatulagaina, le gata faitau le faila faila, ae ia tamoʻe foi remotely lau code luga o le sapalai.

CVE-2021-41773 luga Apache HTTP Server 2.4.50 sa le lava. E mafai e se tagata osofaʻi ona faʻaaoga se auala osofaʻi faʻafuaseʻi e faʻafanua ai URL i faila i fafo atu o faʻasinoala ua faʻatulagaina e faʻatonuga e tai tutusa ma Aliases. Afai o faila i fafo atu o nei tusitaiala e le puipuia e le masani ai ona masani ai "manaʻomia uma teena" tulaga, o nei talosaga ono ono manuia. Afai o CGI tusitusiga ua faʻatagaina foʻi mo nei faʻaʻafaʻaiga patch, lenei mafai faʻatagaina maotua code faʻataunuʻuina. O lenei mataupu e naʻo le Apache 2.4.49 ma le Apache 2.4.50 e aafia ai ae leʻo le muamua.

I lona uiga, le faʻafitauli fou (ua uma ona lisiina ile CVE-2021-42013) e tali tutusa lelei ma le uluaʻi vaivaiga (CVE-2021-41773) i le 2.4.49, Pau lava le 'eseʻesega o se eseʻese amio faʻailoga.

Ma e faapitoa lava, i le lomiga 2.4.50 o le mafai ona faʻaaogaina le faʻasologa "% 2e" na poloka e faʻavasega se manatu, ae ioeua leiloa le avanoa e faʻalua ai faʻatonuga: Pe a faʻamaoti mai le faʻasologa "%% 32% 65", o le 'auʻauna na suʻesuʻeina i le "% 2e", ona oʻo ai lea i le ".", O lena O tagata "../" e alu i le faʻasino talu ai e mafai ona faʻavasega ". %% 32% 65 / ».

Uma CVEs o le mea moni toeititi lava tutusa auala traversal vaivai (o le lona lua o le le maeʻa faʻaleleia mo le muamua). E naʻo le URI faʻafanua na te galueina le auala savali (mo se faʻataʻitaʻiga, ala ile Apache "Alias" poʻo le "ScriptAlias" faʻatonuga). DocumentRoot lava e le lava

E tusa ai ma le faʻaaogaina o se tulaga vaivai e ala ile faʻasologa o tulafono, E mafaia lenei mea pe a fai e mafai ona mod_cgi ma o loʻo faʻaaogaina se ala faʻavae e faʻatagaina ai tusitusiga a le CGI (mo se faʻataʻitaʻiga, pe a faʻatagaina le faʻatonuga a le ScriptAlias ​​poʻo le faʻailoga a le ExecCGI i le Faʻatonuga a Faʻatonuga).

O loʻo taua e faapea, o se mea e manaʻomia mo se osofaʻiga manuia o le saunia lelei foʻi lea i le Apache configurment access i directories ma faʻagaioia faila, pei o / bin, poʻo le ulufale atu i le aʻa FS "/". Talu ai o sea auala e le masani ona saunia, o le code code osofaʻiga e le aoga tele i faiga moni.

I le taimi lava e tasi o le osofaʻiga i le mauaina o faila faila faiga faʻavae faiga faʻavae ma faʻavae tusitusiga o tusitusiga i luga ole laiga o avanoa mo faitau tagata lalo o le mea o loʻo tamoe pea le 'auʻaunaga http. Ina ia faia sea osofaʻiga, na ona i ai o se tusi faʻasino i luga o le 'upega tafaʻilagi configured le faʻaaogaina o le "Alias" poʻo le "ScriptAlias" faʻatonuga (DocumentRoot e le lava), pei o le "cgi-bin".

I se faʻaopopoga i lenei mea, na ia taʻua foi o le faʻafitauli e masani lava ona aʻafia ai le tuʻufaʻatasia o tufatufaga (Rolling Releases) pei o Fedora, Arch Linux ma Gentoo, faʻapea foʻi ma FreeBSD ports.

A o tufatufaina Linux o loʻo faʻavae i luga o mautu lala o le tufatufaina tufatufaina pei o Debian, RHEL, Ubuntu ma SUSE e le vaivai. O le faʻafitauli e le aliali mai pe a fai o le ulufale i faʻasino e matua teʻena le faʻaogaina o le »manaʻomia uma le faʻafiti« setiina.

E aoga foi le taʻua o lena I le Oketopa 6-7, Cloudflare faʻamaonia sili atu nai lo 300 taumafaiga e faʻaoga le vaivai CVE-2021-41773 i le aso. O le tele o taimi, o se iʻuga o osofaʻiga otometi, latou te talosagaina mataupu o le "/cgi-bin/.%2e/.git/config", "/cgi-bin/.%2e/app/etc/local.xml "," /Cgi-bin/.% 2e / app / etc / env.php "ma le" /cgi-bin/.%2e/%2e%2e/%2e%2e/etc/passwd ".

O le faʻafitauli e naʻo faʻaaliga i le 2.4.49 ma le 2.4.50, o faʻamatalaga talu ai o le vaivai e le afaina. Ina ia lipea le suiga fou o le vaivai, o le Apache httpd 2.4.51 faʻamalolo na vave fausia.

Mulimuli Afai e te fiafia e iloa atili e uiga i ai, e mafai ona e siakiina auiliiliga I le fesoʻotaʻiga lenei.


O mataupu o le tusitusiga e tausisi ia tatou mataupu silisili o amio lelei faʻatonu. E lipotia se mea sese kiliki iinei.

Ia avea muamua ma faamatalaga

Tuʻu lau faamatalaga

o le a le lomia lou tuatusi imeli. O nofoaga e manaʻomia e makaina *

*

*

  1. E tali atu mo faʻamatalaga: Miguel Ángel Gatón
  2. Faamoemoega o faʻamatalaga: Pulea le SPAM, faʻamatalaga pulega.
  3. Tulaga faʻatulafonoina: Lau maliega
  4. Fesoʻotaʻiga o faʻamatalaga: O faʻamatalaga o le a le fesoʻotaʻi atu i isi vaega vagana i tulafono faʻatulafonoina.
  5. Teuina o faʻamatalaga: Faʻamaumauga tuʻufaʻatasia e Occentus Networks (EU)
  6. Aia Tatau: I soo se taimi e mafai ai ona e faʻatapulaʻaina, toe maua ma aveʻese au faʻamatalaga.