சமீபத்தில் செய்தி அதை உடைத்தது அப்பாச்சி http சேவையகத்திற்கு எதிராக ஒரு புதிய தாக்குதல் திசையனைக் கண்டுபிடித்தார், 2.4.50 புதுப்பிப்பில் இணைக்கப்படாமல் இருந்தது மற்றும் தளத்தின் ரூட் கோப்பகத்திற்கு வெளியே உள்ள பகுதிகளில் இருந்து கோப்பு அணுகலை அனுமதிக்கிறது.
கூடுதலாக, ஆராய்ச்சியாளர்கள் சில உள்ளமைவுகளின் முன்னிலையில், ஒரு வழியைக் கண்டறிந்துள்ளனர் தரமற்ற, கணினி கோப்புகளைப் படிப்பது மட்டுமல்லாமல், இயக்கவும் சேவையகத்தில் தொலைவிலிருந்து உங்கள் குறியீடு.
அப்பாச்சி HTTP சர்வர் 2021 இல் CVE-41773-2.4.50 போதுமானதாக இல்லை. ஏலியேஸைப் போன்ற கட்டளைகளால் கட்டமைக்கப்பட்ட கோப்பகங்களுக்கு வெளியே உள்ள கோப்புகளுக்கு URL களை வரைபடமாக்குவதற்கு ஒரு தாக்குபவர் பாதை பயணத் தாக்குதலைப் பயன்படுத்தலாம். இந்த கோப்பகங்களுக்கு வெளியே உள்ள கோப்புகள் வழக்கமான இயல்புநிலையால் "மறுக்கப்பட்ட அனைத்தும் தேவை" அமைப்புகளால் பாதுகாக்கப்படவில்லை என்றால், இந்த கோரிக்கைகள் வெற்றிகரமாக இருக்கலாம். சிஜிஐ ஸ்கிரிப்ட்கள் இந்த இணைக்கப்பட்ட இணைப்புகளுக்கு இயக்கப்பட்டிருந்தால், இது ரிமோட் குறியீடு செயல்படுத்தலை அனுமதிக்கும். இந்த சிக்கல் அப்பாச்சி 2.4.49 மற்றும் அப்பாச்சி 2.4.50 ஐ மட்டுமே பாதிக்கிறது மற்றும் முந்தைய பதிப்புகள் அல்ல.
சாராம்சத்தில்புதிய சிக்கல் (ஏற்கனவே CVE-2021-42013 என பட்டியலிடப்பட்டுள்ளது) இது அசல் பாதிப்புக்கு முற்றிலும் ஒத்திருக்கிறது (CVE-2021-41773) 2.4.49 இல், ஒரே வித்தியாசம் வேறு எழுத்து குறியாக்கத்தில் உள்ளது.
மேலும் அது குறிப்பாக, பதிப்பு 2.4.50 இல் "% 2e" வரிசையைப் பயன்படுத்துவதற்கான சாத்தியம் தடுக்கப்பட்டது ஒரு புள்ளியை குறியாக்க, ஆனால் ஆம்இரட்டை குறியாக்கத்தின் சாத்தியத்தை இழந்தது: "%% 32% 65" வரிசையைக் குறிப்பிடும்போது, சேவையகம் "% 2e" இல் டிகோட் செய்யப்பட்டது, பின்னர் ".", அதாவது "../" என்ற எழுத்துக்கள் முந்தைய கோப்பகத்திற்குச் செல்ல குறியாக்கப்படலாம் ". %% 32% 65 / ».
இரண்டு CVE களும் உண்மையில் கிட்டத்தட்ட ஒரே பாதையில் பயணிக்கும் பாதிப்பு (இரண்டாவதாக முதலாவது முழுமையற்ற சரிசெய்தல்). பாதை பயணமானது வரைபடமாக்கப்பட்ட URI இலிருந்து மட்டுமே செயல்படுகிறது (எடுத்துக்காட்டாக, அப்பாச்சி "மாற்றுப்பெயர்" அல்லது "ஸ்கிரிப்ட் அலியாஸ்" வழிமுறைகள் வழியாக). DocumentRoot மட்டும் போதாது
ஒரு பாதிப்பை சுரண்டுவது குறித்து குறியீடு செயல்படுத்தல் மூலம், mod_cgi இயக்கப்பட்டிருந்தால் இது சாத்தியமாகும் மற்றும் சிஜிஐ ஸ்கிரிப்ட்கள் இயங்க அனுமதிக்கப்படும் ஒரு அடிப்படை பாதை பயன்படுத்தப்படுகிறது (எடுத்துக்காட்டாக, ஸ்கிரிப்ட்அலியாஸ் டைரக்டிவ் இயக்கப்பட்டிருந்தால் அல்லது எக்ஸ்சிசிஜிஐ கொடி ஆப்ஷன்ஸ் டைரக்டிவில் குறிப்பிடப்பட்டிருந்தால்).
வெற்றிகரமான தாக்குதலுக்கு ஒரு முன்நிபந்தனை அப்பாச்சி உள்ளமைவில் / bin, அல்லது FS ரூட் " /" போன்ற இயங்கக்கூடிய கோப்புகளைக் கொண்ட அடைவுகளுக்கான அணுகலை வெளிப்படையாக வழங்குவதும் குறிப்பிடப்பட்டுள்ளது. அத்தகைய அணுகல் சாதாரணமாக வழங்கப்படாததால், ஒரு குறியீடு செயல்படுத்தும் தாக்குதல் உண்மையான அமைப்புகளுக்கு சிறிதும் பயன்படாது.
அப்பாசி 2.4.49 (CVE-2021-41773) மற்றும் 2.4.50 (CVE-2021-42013) ஆகிய இரண்டிற்கும் RCE சுரண்டுகிறது:
ரூட் @ CT406: ~ # கர்ல் 'http://192.168.0.191/cgi-bin/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.% % 32% 65 / bin / sh '-தரவு' எதிரொலி உள்ளடக்கம்-வகை: உரை / வெற்று; வெளியே எறிந்தார்; போ '
uid = 1 (டீமான்) gid = 1 (டீமான்) குழுக்கள் = 1 (டீமான்)- ☠ ரோமன் மதீனா-ஹெய்கல் ஹெர்னாண்டஸ் (@roman_soft) அக்டோபர் 7, 2021
அதே நேரத்தில் கோப்பு உள்ளடக்கத்தைப் பெறுவதற்கான தாக்குதல் தன்னிச்சையான கணினி குறியீடுகள் மற்றும் வலை ஸ்கிரிப்டுகளின் மூல நூல்கள் பயனர் வாசிப்புக்கு கிடைக்கின்றன அதன் கீழ் http சேவையகம் இயங்குவது இன்னும் பொருத்தமானது. அத்தகைய தாக்குதலை மேற்கொள்ள, "சிஜி-பின்" போன்ற "மாற்றுப்பெயர்" அல்லது "ஸ்கிரிப்ட்அலியாஸ்" உத்தரவுகளை (DocumentRoot போதாது) பயன்படுத்தி கட்டமைக்கப்பட்ட தளத்தில் ஒரு கோப்பகத்தை வைத்திருங்கள்.
அதோடு, ஃபெடோரா, ஆர்ச் லினக்ஸ் மற்றும் ஜென்டூ போன்ற தொடர்ச்சியான புதுப்பிக்கப்பட்ட விநியோகங்கள் (ரோலிங் ரிலீஸ்கள்) மற்றும் ஃப்ரீபிஎஸ்டி போர்ட்களை இந்த பிரச்சனை முக்கியமாக பாதிக்கிறது என்று அவர் குறிப்பிடுகிறார்.
டெபியன், RHEL, உபுண்டு மற்றும் SUSE போன்ற சேவையக விநியோகங்களின் நிலையான கிளைகளை அடிப்படையாகக் கொண்ட லினக்ஸ் விநியோகங்கள் பாதிக்கப்படாது. கோப்பகங்களுக்கான அணுகல் வெளிப்படையாக மறுக்கப்பட்டால் சிக்கல் தோன்றாது.
அதைக் குறிப்பிடுவதும் மதிப்பு அக்டோபர் 6-7 அன்று, கிளவுட்ஃப்ளேர் பாதிப்பைப் பயன்படுத்த 300 க்கும் மேற்பட்ட முயற்சிகளைப் பதிவு செய்தது CVE-2021-41773 ஒரு நாளுக்கு. பெரும்பாலான நேரங்களில், தானியங்கி தாக்குதல்களின் விளைவாக, அவர்கள் "/cgi-bin/.%2e/.git/config", "/cgi-bin/.%2e/app/etc/local.xml "," /Cgi-bin/.% 2e/app/etc/env.php "மற்றும்" /cgi-bin/.%2e/%2e%2e/%2e%2e/etc/passwd ".
பிரச்சனை 2.4.49 மற்றும் 2.4.50 பதிப்புகளில் மட்டுமே வெளிப்படுகிறது, பாதிப்பின் முந்தைய பதிப்புகள் பாதிக்கப்படவில்லை. பாதிப்பின் புதிய மாறுபாட்டை சரிசெய்ய, அப்பாச்சி httpd 2.4.51 வெளியீடு விரைவாக உருவாக்கப்பட்டது.
இறுதியாக இதைப் பற்றி மேலும் அறிய நீங்கள் ஆர்வமாக இருந்தால், நீங்கள் விவரங்களை சரிபார்க்கலாம் பின்வரும் இணைப்பில்.