Дар сервери Apache http осебпазирӣ ёфт

Чанде пеш ин хабар паҳн шуд бар зидди сервери Apache http вектори нави ҳамла пайдо кард, ки дар навсозии 2.4.50 бетаъсир монд ва дастрасии файлро аз минтақаҳои берун аз феҳристи решаи сайт имкон медиҳад.

Илова бар ин, муҳаққиқон роҳеро пайдо кардаанд, ки дар ҳузури конфигуратсияҳои муайян ғайри стандартӣ, на танҳо файлҳои системаро мехонанд, балки иҷро мекунанд рамзи фосилавии шумо дар сервер.

CVE-2021-41773 дар Apache HTTP Server 2.4.50 нокифоя буд. Ҳамлагар метавонад ҳамлаи гузаришро барои харитаи URL ба файлҳо берун аз директорияҳое, ки бо директиваҳои шабеҳи тахаллусҳои шабеҳ танзим шудаанд, истифода барад. Агар файлҳои берун аз ин директорияҳо бо танзимоти муқаррарии "талаб кардани ҳама рад" муҳофизат карда нашаванд, ин дархостҳо метавонанд муваффақ бошанд. Агар скриптҳои CGI барои ин часбҳои тахаллусӣ низ фаъол бошанд, ин метавонад ба иҷрои кодҳои дурдаст иҷозат диҳад. Ин масъала танҳо ба Apache 2.4.49 ва Apache 2.4.50 таъсир мерасонад, на версияҳои қаблӣ.

Аслан, мушкилоти нав (аллакай ҳамчун CVE-2021-42013 номбар шудааст) он комилан ба осебпазирии аслӣ шабоҳат дорад (CVE-2021-41773) дар 2.4.49, ягона фарқият дар рамзгузории аломатҳои гуногун аст.

Ва он аст, ки махсусан, дар версияи 2.4.50 имкони истифодаи пайдарпаии "% 2e" баста шуд барои рамзгузории нуқта, аммо ҳаe имкони рамзгузории дугонаро аз даст дод: Ҳангоми нишон додани пайдарпаии "%% 32% 65", сервер рамзи "% 2e" ва сипас дар "." -Ро дорад, яъне аломатҳои "../" барои рафтан ба феҳристи қаблӣ метавонанд ҳамчун "рамзгузорӣ шаванд. %% 32% 65 / ».

Ҳарду CVE дар асл қариб як осебпазирии гузариш мебошанд (дуввум ислоҳи нопурра барои аввал). Гузариши роҳ танҳо аз URI -и харита кор мекунад (масалан, тавассути директиваҳои Apache "Alias" ё "ScriptAlias"). Танҳо DocumentRoot кофӣ нест

Дар бораи истисмори осебпазирӣ тавассути иҷрои код, ин имконпазир аст, агар mod_cgi фаъол бошад ва роҳи асосӣ истифода мешавад, ки дар он скриптҳои CGI иҷозат дода мешаванд (масалан, агар директиваи ScriptAlias ​​фаъол бошад ё парчами ExecCGI дар директиваи Опсияҳо нишон дода шуда бошад).

Зикр карда мешавад, ки шарти бомуваффақияти ҳамлаи бомуваффақият дар конфигуратсияи Apache дастрасӣ ба феҳристҳо бо файлҳои иҷрошаванда ба монанди / bin ё дастрасӣ ба решаи FS " /" мебошад. Азбаски чунин дастрасӣ одатан таъмин нест, ҳамлаи иҷрои код барои системаҳои воқеӣ чандон фоидаовар нест.

Дар айни замон ҳамла ба гирифтани мундариҷаи файл рамзҳои худсаронаи система ва матнҳои аслии скриптҳои веб, ки барои хондани корбарон дастрасанд ки дар он сервери http кор мекунад, ҳоло ҳам аҳамият дорад. Барои анҷом додани чунин ҳамла, танҳо дар сайт директорияе дошта бошед, ки бо истифода аз дастурҳои "Alias" ё "ScriptAlias" танзим карда шавад (DocumentRoot кофӣ нест), ба мисли "cgi-bin".

Илова бар ин, вай қайд мекунад, ки мушкилот асосан ба тақсимоти пайваста навсозишуда (Rolling Releases) ба монанди Fedora, Arch Linux ва Gentoo, инчунин бандарҳои FreeBSD таъсир мерасонад.

Дар ҳоле ки тақсимоти Linux, ки ба шохаҳои устувори паҳнкунии серверҳо ба монанди Debian, RHEL, Ubuntu ва SUSE асос ёфтаанд, осебпазир нестанд. Мушкилот ба миён намеояд, агар дастрасӣ ба директорияҳо бо истифодаи "талаб кардани ҳама радшуда" қатъиян рад карда шавад.

Инро низ қайд кардан бамаврид аст 6-7 октябр, Cloudflare беш аз 300 кӯшиши истифодаи осебпазириро сабт кард CVE-2021-41773 дар як рӯз. Аксар вақт, дар натиҷаи ҳамлаҳои автоматӣ онҳо мундариҷаи "/cgi-bin/.%2e/.git/config", "/cgi-bin/.%2e/app/etc/local.xml "," /Cgi-bin/.% 2e/app/etc/env.php "ва" /cgi-bin/.%2e/%2e%2e/%2e%2e/etc/passwd ".

Мушкилот танҳо дар версияҳои 2.4.49 ва 2.4.50 зоҳир мешавад, версияҳои қаблии осебпазирӣ таъсир намерасонанд. Барои ислоҳи варианти нави осебпазирӣ, версияи Apache httpd 2.4.51 зуд ташкил карда шуд.

Finalmente Агар шумо ба донистани бештар дар бораи он манфиатдор бошед, шумо метавонед тафсилотро тафтиш кунед Дар истиноди зерин.


Мазмуни мақола ба принсипҳои мо риоя мекунад ахлоқи таҳрирӣ. Барои гузориш додани хато клик кунед ин ҷо.

Аваллин эзоҳро диҳед

Назари худро бинависед

Суроғаи почтаи электронии шумо нест, нашр карда мешавад. Майдонҳои талаб карда мешавад, бо ишора *

*

*

  1. Масъул барои маълумот: Мигел Анхел Гатан
  2. Мақсади маълумот: Назорати СПАМ, идоракунии шарҳҳо.
  3. Қонунӣ: Розигии шумо
  4. Иртиботи маълумот: Маълумот ба шахсони сеюм расонида намешавад, ба истиснои ӯҳдадориҳои қонунӣ.
  5. Нигоҳдории маълумот: Пойгоҳи додаҳо аз ҷониби Occentus Networks (ИА) ҷойгир карда шудааст
  6. Ҳуқуқҳо: Ҳар лаҳза шумо метавонед маълумоти худро маҳдуд, барқарор ва нест кунед.