O fumane ts'oaetso ho seva ea Apache http

Haufinyane litaba li ile tsa senola seo e fumane vector e ncha ea tlhaselo khahlano le seva ea Apache http, e lutseng e sa ngolisoe ntlafatsong ea 2.4.50 mme e lumella phihlello ea faele ho tsoa libakeng tse kantle ho sesebelisoa sa methapo ea sebaka.

Ntle le moo, bafuputsi ke fumane mokhoa oo, boteng ba meralo e itseng e sa tloaelehang, u se ke ua bala lifaele tsa sistimi feela, empa hape u tsamaee khoutu ea hau e hole ka seva.

CVE-2021-41773 ho Apache HTTP Server 2.4.50 e ne e sa lekana. Mohlaseli a ka sebelisa 'mila o hlaselang' mapa oa li-URL ho lifaele tse kantle ho lits'oants'o tse hlophisitsoeng ka litaelo tse ts'oanang le tsa Aliases. Haeba lifaele tse kantle ho lirekoto tsena li sa sireletsoa ka mokhoa o tloaelehileng "li hloka litlhophiso tsohle tse hanetsoeng", likopo tsena li ka atleha. Haeba lingoloa tsa CGI le tsona li lumelloa bakeng sa lipapatso tsena tse ikhethileng, sena se ka lumella ts'ebetso ea khoutu e hole. Taba ena e ama feela Apache 2.4.49 le Apache 2.4.50 eseng liphetolelo tsa pejana.

Ka bokhutšoanyane, bothata bo bocha (bo seng bo thathamisitsoe e le CVE-2021-42013) e tšoana ka botlalo le ts'oaetso ea mantlha (CVE-2021-41773) ho 2.4.49, phapang e le 'ngoe e kh'outeng ea sebopeho se fapaneng.

Mme ke hore ka ho khetheha, ka mofuta 2.4.50 monyetla oa ho sebelisa tatellano "% 2e" o ile oa koaloa ho khouta ntlha, empa eE lahlehetsoe ke monyetla oa ho kenya kh'outu habeli: Ha o hlakisa tatellano ea "%% 32% 65", seva e kentsoe "% 2e", ebe "", ke hore Litlhaku "../" ho ea bukeng e fetileng li ka kenyelletsoa joaloka ". %% 32% 65 / ».

Li-CVE ka bobeli li batla li le tseleng e ts'oanang ea tlokotsi (ea bobeli ke tokiso e sa phethahalang bakeng sa ea pele). Tsela e tsamaeang e sebetsa feela ho tsoa ho URI e nang le 'mapa (mohlala, ka Apache "Alias" kapa "ScriptAlias" litaelo). TokomaneRoot feela ha ea lekana

Mabapi le tlhekefetso ea tlokotsi ka ho etsa khoutu, sena se ka khonahala haeba mod_cgi e nolofalitsoe 'me tsela ea motheo e sebelisoa moo mangolo a CGI a lumelloang ho sebetsa (mohlala, haeba taelo ea ScriptAlias ​​e nolofalitsoe kapa folakha ea ExecCGI e boletsoe ho Directive directive).

Ho boleloa hore ntho e hlokahalang bakeng sa tlhaselo e atlehileng ke ho fana ka phihlello ea phihlello ea Apache ho li-directory tse nang le lifaele tse ka sebetsoang, joalo ka / bin, kapa phihlello ea motso oa FS "/". Kaha phihlello e joalo hangata ha e fanoe, tlhaselo ea khoutu ea ts'ebetso ha e na thuso ho lits'ebetso tsa 'nete.

Ka nako e ts'oanang tlhaselo ea ho fumana litaba tsa faele likhoutu tsa sistimi tse hatellang le lingoloa tsa mohloli oa lingoloa tsa webo tse di a fumaneha bakeng sa ho balwa ke basebedisi eo server ea http e sebetsang tlasa eona e ntse e sebetsa. Ho etsa tlhaselo e joalo, e-ba le sesebelisoa sebakeng sa marang-rang se hlophisitsoeng u sebelisa "Alias" kapa "ScriptAlias" litaelo (DocumentRoot ha ea lekana), joalo ka "cgi-bin".

Ntle le moo, o bolela hore bothata bona bo ama likabo tse ntlafalitsoeng khafetsa (Rolling Releases) joalo ka Fedora, Arch Linux le Gentoo, hammoho le likou tsa FreeBSD.

Ha lipehelo tsa Linux tse ipapisitseng le makala a tsitsitseng a li-server tse kang Debian, RHEL, Ubuntu le SUSE ha li tlokotsing. Bothata ha bo hlahe haeba phihlello ea lits'oants'o e haneloa ka ho hlaka ke »e hloka hore tsohle li haneloe ho seta«.

Ho bohlokoa hape ho bolela seo Ka la 6-7 la Mphalane, Cloudflare e ile ea rekota liteko tse fetang 300 ho sebelisa ts'oaetso hampe CVE-2021-41773 ka letsatsi. Boholo ba nako, ka lebaka la litlhaselo tse iketsang, ba kopa litaba tsa "/cgi-bin/.%2e/.git/config", "/cgi-bin/.%2e/app/etc/local.xml "," /Cgi-bin/.% 2e / app / etc / env.php "le" /cgi-bin/.%2e/%2e%2e/%2e%2e/etc/passwd ".

Bothata bo iponahatsa feela ho mefuta ea 2.4.49 le 2.4.50, mefuta e fetileng ea bofokoli ha e amehe. Ho lokisa mofuta o mocha oa tlokotsi, tlhahiso ea Apache httpd 2.4.51 e ile ea theoa kapele.

Qetellong Haeba u rata ho tseba ho eketsehileng ka eona, o ka hlahloba lintlha Ka sehokela se latelang.


Litaba tsa sengoloa sena li latela melao-motheo ea rona ea melao ea boitšoaro ea bongoli. Ho tlaleha phoso tlanya mona.

E-ba oa pele ho fana ka maikutlo

Siea maikutlo a hau

aterese ya hao ya imeile ke ke ho phatlalatswa. masimo a hlokahala a tšoailoe ka *

*

*

  1. E ikarabella bakeng sa data: Miguel Ángel Gatón
  2. Morero oa data: Laola SPAM, tsamaiso ea maikutlo.
  3. Molao: Tumello ea hau
  4. Puisano ea data: Lintlha li ke ke tsa tsebisoa batho ba boraro ntle le ka tlamo ea molao.
  5. Polokelo ea data: Database e hapiloeng ke Occentus Networks (EU)
  6. Litokelo: Nako efe kapa efe o ka fokotsa, oa hlaphoheloa mme oa hlakola tlhaiso-leseling ea hau.