The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Уязвимость в http-сервере Apache 2.4.49, позволяющая получить файлы вне корня сайта

05.10.2021 23:01

В экстренном порядке сформировано обновление http-сервера Apache 2.4.50, в котором устранена уже активно эксплуатируемая 0-day уязвимость (CVE-2021-41773), позволяющая получить доступ к файлам из областей вне корневого каталога сайта. При помощи уязвимости можно загрузить произвольные системные файлы и исходные тексты web-скриптов, доступные для чтения пользователю, под которым запущен http-сервер. Разработчики были уведомлены о проблеме ещё 17 сентября, но смогли выпустить обновление только сегодня, после того как в сети были зафиксированы случаи применения уязвимости для атаки на сайты.

Опасность уязвимости сглаживает то, что проблема проявляется только в недавно выпущенной версии 2.4.49 и не затрагивает все более ранние выпуски. В стабильных ветках консервативных серверных дистрибутивов выпуск 2.4.49 ещё не использовался (Debian, RHEL, Ubuntu, SUSE), но проблема затронула непрерывно обновляемые дистрибутивы, такие как Fedora, Arch Linux и Gentoo, а также порты FreeBSD.

Уязвимость вызвана ошибкой, внесённой в ходе переработки кода для нормализации путей в URI, из-за которой закодированный при помощи последовательности "%2e" символ точки в пути не нормализировался, если ему предшествовала другая точка. Таким образом, оказалась возможной подстановка неочищенных символов "../" в результирующий путь через указание в запросе последовательности ".%2e/". Например, запрос вида "https://example.com/cgi-bin/.%2e/.%2e/.%2e/.%2e/etc/passwd" или "https://example.com/cgi-bin/.%2e/%2e%2e/%2e%2e/%2e%2e/etc/hosts" позволял получить содержимое файла "/etc/passwd".

Проблема не проявляется, если доступ к каталогам явно запрещён при помощи настройки "require all denied". Например для частичной защиты можно указать в файле конфигурации:


   <Directory />
      require all denied
   </Directory>

В версии Apache httpd 2.4.50 также устранена ещё одна уязвимость (CVE-2021-41524), затрагивающая модуль с реализацией протокола HTTP/2. Уязвимость позволяла через отправку специально оформленного запроса инициировать разыменование нулевого указателя и вызвать крах процесса. Данная уявзимость также проявляется только в версии 2.4.49. В качестве обходного пути защиты можно отключить поддержку протокола HTTP/2.

Дополнение: Предложен способ использования уязвимости CVE-2021-41773 для запуска своего кода на сервере:


   curl --data "A=|id>>/tmp/x;uname\$IFS-a>>/tmp/x" 'http://127.0.0.1:8080/cgi-bin/.%2e/.%2e/.%2e/.%2e/bin/sh' -vv


  1. Главная ссылка к новости (https://www.openwall.com/lists...)
  2. OpenNews: Релиз http-сервера Apache 2.4.49 с устранением уязвимостей
  3. OpenNews: Уязвимости в Apache httpd и Apache Tomcat
  4. OpenNews: Релиз http-сервера Apache 2.4.39 с устранением опасных уязвимостей
  5. OpenNews: Релиз http-сервера Apache 2.4.41 с устранением уязвимостей
  6. OpenNews: Релиз http-сервера Apache 2.4.46 с устранением уязвимостей
Лицензия: CC-BY
Наводку на новость прислал Artem S. Tashkinov
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/55924-apache
Ключевые слова: apache, httpd
Поддержать дальнейшую публикацию новостей на OpenNET.


Обсуждение (122) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Рейка Сметанова (ok), 23:32, 05/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –7 +/
    Надо было юзатб nginx
     
     
  • 2.5, Аноним (5), 23:43, 05/10/2021 [^] [^^] [^^^] [ответить]  
  • –10 +/
    Надо не использовать http для того, для чего он изначально не предпологался.

    Развели мартышек

     
     
  • 3.9, Аноним (9), 00:01, 06/10/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Ты кроме слова "файл" что-нибудь прочитал в новости?
     
  • 3.25, Robin Bobin (?), 02:31, 06/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    у многих mod_rewrite и стало быть обработка урла должна быть передана скрипту
     
  • 3.91, Самый Лучший Гусь (?), 15:35, 06/10/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Лучше мартышки, чем крокодилы
     
     
  • 4.99, Аноним (99), 17:56, 06/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ага, фракталу с iPony расскажи. А то они бедные не знают куда приткнуться.
     
  • 3.103, Аноним (99), 18:04, 06/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ты смотри сколько обиженных мартишек наминусловало.
     
  • 2.10, Аноним (10), 00:07, 06/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    thttpd
     
  • 2.19, Аноним (19), 00:46, 06/10/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Его ещё на Rust не переписали.
     
     
  • 3.48, Аноним (48), 09:58, 06/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Тогда будут не только знаки процента
     
  • 2.31, Аноньимъ (ok), 05:03, 06/10/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Чудеса и волшебства веба с кодированием знаками процента ничего уже не спасёт.
     

  • 1.3, Урри (ok), 23:36, 05/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Сами внесли, небось.
    Сколько за исправление фонд из недавной новости денег отвалит?
     
  • 1.4, Аноним (5), 23:42, 05/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –17 +/
    http головного мозга потому что. Файлы по http гонять, бред бреднятский
     
     
  • 2.18, Dr Nyanpasu (?), 00:43, 06/10/2021 [^] [^^] [^^^] [ответить]  
  • +12 +/
    Иж чаво удумали, обмажутся своими файлами и давай по сети гонять!
    Только буквами!
     
  • 2.21, Enamel (ok), 00:49, 06/10/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А как гонять?
    Чтоб на любом устройстве в браузере в один клик
     
     
  • 3.32, Аноньимъ (ok), 05:04, 06/10/2021 [^] [^^] [^^^] [ответить]  
  • –4 +/
    По FTP!
     
     
  • 4.49, ryoken (ok), 09:58, 06/10/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Дык его из FF_а фсио, на мороз...
     
     
  • 5.104, Аноним (99), 18:05, 06/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Дык его из FF_а фсио, на мороз...

    Ды FF и хром фсио, в помойку уже давно.

     
  • 4.67, Аноним (67), 11:54, 06/10/2021 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Чтобы получить вместо файла что угодно подменённое? Не, спасибо. FTP сдох, туда ему и дорога.
     
     
  • 5.128, Michael Shigorin (ok), 22:59, 07/10/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> HTTP
    > Чтобы получить вместо файла что угодно подменённое? Не, спасибо. FTP сдох

    Барышня, Вы хоть педали не путаете?

    Что с уровнями протоколов в голове каша, наиболее удобная как раз профессионалам подмены понятий -- видно даже по этой фразе.

     
  • 5.133, Аноньимъ (ok), 01:20, 11/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    FTP может работать поверх защищенного соединения, кроме того, никто не отменял цифровой подписи.

    Есть альтернативы FTP, для передачи !файлов!. HTTP не одна из них.

    Мой комментарий был немного шуткой, в свете глобального уничтожения "устаревших" технологий.
    Но только немного.

    HTTP предназначен для передачи html !документов!, и больше ничего на самом деле, и только в этой роли можно сказать что он неплох.

     
  • 3.101, Аноним (99), 18:03, 06/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Серьёзно? Ты серьёзно не представляешь как можно передать файл кроме как http?

    Занавес чувак, ищи другую работу.

     
     
  • 4.134, Enamel (ok), 05:31, 15/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Серьёзно? Ты серьёзно не представляешь как можно передать файл кроме как http?

    Речь о том, как это сделать с минимальными усилиями на любом устройстве с любой ОС, где есть только браузер, ничего не устанавливая.

     
  • 2.78, Аноним (78), 12:44, 06/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А модный dav не так делает?
     
     
  • 3.105, Аноним (99), 18:06, 06/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > А модный dav не так делает?

    А есть ещё отсталые кому dav интересен? Это же прошлый век

     
  • 2.81, Pahanivo (ok), 13:35, 06/10/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Для некоторых личностей вход на опеннет должен быть со справкой из наркологического диспансера.
     
     
  • 3.102, Аноним (99), 18:03, 06/10/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Именно, покажи свою
     

  • 1.7, Sw00p aka Jerom (?), 23:50, 05/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    приехали называется
     
  • 1.8, Аноним (8), 23:56, 05/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    дебиан опять молодец!
     
  • 1.11, Аноним (11), 00:11, 06/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –8 +/
    Папач только под сервером Сысоева! Сысоев кросаффчег! Настоящий снг программист в сишечку,! Смуззяны, вам есть с кого брать пример.
     
  • 1.12, Аноним (12), 00:14, 06/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Однако! Мне было бы очень любопытно узнать кто это накодил и кто это рецензировал/принимал. Ну и на десерт еще чтобы расследование провели и выяснели было ли это намеренным действием или по причине смузихлебства.
     
     
  • 2.16, x3who (?), 00:36, 06/10/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Откуда там смузихлебство, у разработчиков гапача наверное старческий маразм просто. С детства при том.
     
     
  • 3.65, Аноним (11), 11:49, 06/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Откуда? Набижали ж со смуззями. Стариков развратили.
     
     
  • 4.129, Michael Shigorin (ok), 23:00, 07/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Здрасьте, это была история появления apache2 как такового вкратце, что ли?
     

  • 1.13, gogo (?), 00:31, 06/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    За что я любил ЦентОС - никаких ролинг-релизов...
    Работало себе годами.
    Убили...
     
     
  • 2.15, Аноним (11), 00:36, 06/10/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Полюби девуана. Пока ядро не проржавело!
     
     
  • 3.36, Аноним (36), 06:50, 06/10/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Некрасивое
     
  • 3.106, Аноним (99), 18:06, 06/10/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    проржавело это про rust
     
  • 2.85, анонъчик (?), 14:32, 06/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    На всякий случай скажу, что в CentOS 8 и Stream одна и та же версия Апача — 2.4.37, и с появлением слов "rolling release" в описании дистра он не превратился автоматически в Арч.
     

  • 1.14, x3who (?), 00:34, 06/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > Например, запрос вида "https://example.com/cgi-bin/.%2e/.%2e/.%2e/.%2e/etc/passwd позволял получить содержимое файла "/etc/passwd".

    Всегда стараюсь вынести рут и пороха в кастомные места.

    О вреде унификации: https://www.schneier.com/blog/archives/2010/12/software_monocu.html

     
     
  • 2.37, aa (?), 06:56, 06/10/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    и как это помешает выполнить несколько запросов с разным количеством /.%2e/ ?
     
     
  • 3.43, пох. (?), 09:05, 06/10/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    один. С большим.

    ls -la ../../../../../../../../../../../etc/passwd
    -rw-r--r-- 1 root root 1299 Mar  7  2021 ../../../../../../../../../../../etc/passwd

     
  • 3.60, x3who (?), 11:07, 06/10/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    они обычно фигачат по заранее известным местам
     
     
  • 4.89, aa (?), 15:14, 06/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    и?
    мы можем выйти из неизвестного корня веб-сервера задав кучу ../ в начале пути, затем добавив известный путь типа /etc/password
     

  • 1.17, Корец (?), 00:38, 06/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    >Разработчики были уведомлены о проблеме ещё 17 сентября, но смогли выпустить обновление только сегодня, после того как в сети были зафиксированы случаи применения уязвимости для атаки на сайты.

    Да они гонят что ли? %) Ок. В другой раз я дважды подумаю, прежде чем выбрать эту поделку в качетсве веб-сервера.

     
     
  • 2.20, x3who (?), 00:47, 06/10/2021 [^] [^^] [^^^] [ответить]  
  • –4 +/
    >  В другой раз я дважды подумаю, прежде чем выбрать эту поделку в качетсве веб-сервера.

    А что, им кто-то пользуется? У чуваков на их сайте лет десять висела статья с разъяснением, что веб-серверу ненужна производительность и ею надо жертвовать в угоду конфигурябельности. Статью вроде уже убрали, но все уже давно поняли про масштабы поражения головного мозга разрабов.

     
     
  • 3.22, x3who (?), 01:10, 06/10/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А, вот нашел: "Apache is a general webserver, which is designed to be correct first, and fast second. Even so, its performance is quite satisfactory. Most sites have less than 10Mbits of outgoing bandwidth, which Apache can fill using only a low end Pentium-based webserver."

    (с) https://web.archive.org/web/20070912083041/http://httpd.apache.org/docs/1.3/mi


     
     
  • 4.38, aa (?), 07:00, 06/10/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    ну во-первых тут про "конфигурябельность" ни слова.
    и вроде как логично, что любая программа должна в первую очередь работать корректно, а уже потом думать как ускориться.
     
     
  • 5.61, x3who (?), 11:11, 06/10/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    1. По ссылке есть.

    2. Так и получаются корректно работающие медленные приложения

     
     
  • 6.115, Аноним (115), 00:32, 07/10/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Какой ужас! Срочно накодьте нам быстрых некорректно работающих!
     
  • 3.44, пох. (?), 09:09, 06/10/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    рюйске опять не умеет читать?
    Там написано - производительность _достаточная_ - ср-ный пень прямой поставки из 90х справится с задачей забить канал типичного васяна нахрен.

    А за рекордами отдачи статики в сферическом вакууме - не сюда, потому что это - для людей делали.

     
     
  • 4.72, Аноним (11), 12:35, 06/10/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ты опять озверинчик с утренца принял штоли?
     
  • 4.83, Аноним (11), 14:11, 06/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Они вон в фуфлоксе плагины переводчиков кушают и радуются. А ты говоришь читать, переводить...
     
     
  • 5.126, пох. (?), 12:29, 07/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А, блжад, вероятно ты прав. Там явный канал в астральную преисподнюю в этих плагинах, поэтому если через них читать - можно ознакомиться с новостями из параллельной вселенной. Ну а поскольку канал через преисподнюю - изложение специфическое.

     
  • 3.47, Онаним (?), 09:33, 06/10/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Смотря что ты понимаешь под производительностью При отдаче статики оверхед апач... большой текст свёрнут, показать
     
     
  • 4.59, Аноним (59), 11:05, 06/10/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Да забудьте вы уже про sendfile, при практически стопроцентном https он абсолютно неактуален.
     
     
  • 5.111, Онаним (?), 21:23, 06/10/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В случае HTTPS, во-первых, всю грязную работу всё равно делает openssl или что там вместо.
    А во-вторых, в этом случае оверхед вообще несопоставим с самим апачем :D

    Поэтому люди вменяемые HTTPS выносят на отдельные фронтенды, в т.ч. с полуаппаратным или аппаратным шифрованием. А за фронтендами таки sendfile :D

     
     
  • 6.132, Аноним (132), 14:20, 09/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    В системах, где https терминируется на отдельном фронте, апачом статику никто и не раздаёт. :-)

    Но в nginx/lighty там будет либо sendfile, либо aio (для крупных файлов). Только не стоит думать, что вызвал один раз sendfile и весь файл улетел, это далеко не так. Но все равно намного эффективнее, чем файл читать, конечно.

     

  • 1.23, Terraforming (ok), 01:49, 06/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Docker нас спасет.
     
     
  • 2.26, Аноним (26), 02:36, 06/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    https://openlitespeed.org/kb/using-cgroups-with-openlitespeed/
     

  • 1.24, Аноним (26), 02:12, 06/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Переходите на OpenLiteSpeed
     
  • 1.27, Аноним (67), 03:08, 06/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вполне ожидаемо для любого проекта apache foundation.
     
     
  • 2.63, Аноним (63), 11:25, 06/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    В nginx, linux, postgresql, redis, postfix, exim типа ошибок нет)
     
     
  • 3.68, Аноним (67), 11:55, 06/10/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Типа есть, но там они - форс-мажор и из ряда вон. А тут - майнстрим.
     
     
  • 4.74, Аноним (63), 12:37, 06/10/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ИЗ серии "Это другое") Слив защитан.
     
  • 3.95, Аноним (95), 15:57, 06/10/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    В Apache проекты никто не развивает. А в других хотя бы пытаются что-то делать.
     
     
  • 4.108, Аноним (108), 19:46, 06/10/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Ещё один. Посмотри Apache Cassandra, Apache Ignite, Apache Kafka. Первая и вторая позиции в крупных проектах активно используются и активно пилятся, но ты же об этом не знаешь.
     
     
  • 5.109, Аноним (26), 20:06, 06/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Это могильник биоотходов.

    Форки Kafka/Cassandra лучше так как на нативном коде.

     
     
  • 6.121, Аноним (121), 10:01, 07/10/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Расскажи это Google, Facebook и им подобным. Пусть их смех от твоих слов разорвёт)
     

  • 1.29, Ананоним (?), 03:50, 06/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Я балдею канешно. Всё работало, не, зачесалось код покрасивше написать типа. Ну мы поверили, чо!
     
  • 1.34, Аноним (34), 06:39, 06/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > только в недавно выпущенной версии 2.4.49
    > Проблема не проявляется, если доступ к каталогам явно запрещён при помощи настройки "require all denied"

    Поленились написать как во всех пердыдущих ?
    [CODE]
    # Deny access to the entirety of your server's filesystem. You must
    # explicitly permit access to web content directories in other
    # <Directory> blocks below.
    #
    <Directory />
        AllowOverride none
        Require all denied
    </Directory>
    [/CODE]

     
     
  • 2.41, Аноним (41), 08:10, 06/10/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Все просто .htaccess файлы не нужны это максимально ненужная фича.
     

  • 1.35, ыы (?), 06:41, 06/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    >проблема проявляется только в недавно выпущенной версии 2.4.49 и не затрагивает все более ранние выпуски.

    Апдейты- зло!

     
  • 1.39, Аноним (39), 07:35, 06/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    >уже активно эксплуатируемая 0-day уязвимость

    Эксплоитера уже посадили, или работа в трёхбуквенншй организации даёт +100500 к иммунитету?

     
     
  • 2.54, Аноним (54), 10:26, 06/10/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > работа в трёхбуквенншй организации

    Вы такие загадочные, в плаще до земли и с надвинутой на глаза шляпой с полями... Разъясните тугодуму, это где, в ЖЭУ или IBM?

     
     
  • 3.56, Аноним (56), 10:28, 06/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    КГБ
     
     
  • 4.58, Аноним (95), 10:39, 06/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    FBI
     
     
  • 5.76, Аноним (11), 12:39, 06/10/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    NSA
     
     
  • 6.96, Аноним (95), 15:58, 06/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    CIA
     
     
  • 7.116, три (?), 05:57, 07/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    ЖЭК
     
     
  • 8.123, InuYasha (??), 10:09, 07/10/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    СБУ... текст свёрнут, показать
     
  • 3.130, Michael Shigorin (ok), 23:03, 07/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    ASF же!
     

  • 1.40, Аноним (41), 08:08, 06/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Список годных проектов от Apache:
     
     
  • 2.62, Аноним (63), 11:23, 06/10/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Cassandra, Ignite, Kafka.
     
     
  • 3.110, Аноним (110), 21:11, 06/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    ScyllaDB, Redpanda
     

  • 1.42, lockywolf (ok), 08:50, 06/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Лучший вебсервер! Нашли и пофиксили.
     
  • 1.45, markus (?), 09:10, 06/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Решил проверить свои сайты.
    Apache 2.4.49.
    Использую скрипты:
    https://github.com/ZephrFish/CVE-2021-41773-PoC
    https://github.com/iilegacyyii/PoC-CVE-2021-41773

    Настройка virtulhost.
    <Directory />
        DirectoryIndex index.php
        Options +FollowSymLinks -Indexes
        AllowOverride All
        Require all granted
    </Directory>

    Двумя скриптами проверил.
    site.local Not Vulnerable
    [-] https://site.local not vulnerable

    Странно, уязвимости нет.

     
  • 1.46, Онаним (?), 09:21, 06/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ну вообще да, запрет для корня и разрешения для отдельных каталогов - это нормальная практика, которой пренебрегать не стоит.

    С другой стороны даже это не позволит обойти возможность таким способом отдачи скрипта в виде текста, если есть симлинки к докрутам где-то, например. Но их ещё найти надо, это уже не так тривиально.

    Мне правда ничего делать не пришлось, я ещё с 2.4.48 не успел шагнуть, обычно стараюсь пропустить 1-2-3 релиза прежде чем билдить новый, если конечно нет ничего совсем уж критичного в changelog. Continuous vulnerability deployment - это не про меня.

     
     
  • 2.53, Аноним (95), 10:11, 06/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А зачем что-то выполнять когда можно просто скачать базу данных если она есть.
     

  • 1.50, Аноним (48), 10:01, 06/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    А дебиан 9 уже не поддерживается? А то лень обновлять на 11, работает уже 4 года...
     
     
  • 2.52, Аноним (95), 10:09, 06/10/2021 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Зачем обновлять это рассадник дыр? Там уже своя экосистема. Доступ на твой дедик продали и теперь и кто-то очень огорчится если ты всё это закроешь.
     

  • 1.55, Аноним (56), 10:26, 06/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    На хостингах он все равно работает в отдельном пользователе на каждый аккаунт. Или на каждый сайт
     
     
  • 2.57, Аноним (95), 10:38, 06/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    PaaS это каменный век. Сейчас каждого хотя бы слегка уважающего себя веб-разработчика IaaS.
     

  • 1.66, Аноним (11), 11:50, 06/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    А вот в няшном httpd и relayd от тео такого нет.
     
     
  • 2.69, Аноним (69), 12:15, 06/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Многих фич Апача у них тоже нет.
     
     
  • 3.71, Аноним (11), 12:33, 06/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Зиродеев в смысле? Да, ощутимо меньше.
     
     
  • 4.107, Аноним (69), 19:41, 06/10/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Кому и зиродей фича.
     

  • 1.70, Аноним (70), 12:26, 06/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >При помощи уязвимости можно загрузить доступные для чтения пользователю, под которым запущен http-сервер.

    Внатуре 0-дау, это не лечится, наука бессильна.

     
  • 1.75, Ilya Indigo (ok), 12:39, 06/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    <Directory />
        AllowOverride none
        Require all denied
    </Directory>

    Разве это в конфигах индейца по умолчанию не прописано?

     
     
  • 2.88, BorichL (ok), 15:12, 06/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Прописано.
     
     
  • 3.90, Ilya Indigo (ok), 15:18, 06/10/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Прописано.

    Тогда мне не понятно, каким образом эта уязвимость может эксплуатироваться, причём активно?

     
     
  • 4.112, Онаним (?), 21:27, 06/10/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну ты же понимаешь, это слишком сложно, надо ещё какие-то права расставлять, а не как в этих ваших нгинхах. В итоге берут - и делают allow на всё.
     
     
  • 5.114, Ilya Indigo (ok), 21:39, 06/10/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Ну ты же понимаешь, это слишком сложно, надо ещё какие-то права расставлять,
    > а не как в этих ваших нгинхах. В итоге берут -
    > и делают allow на всё.

    Ну так бери конфиг хоста у которого doc_root, например в /srv/www/htdocs/host и устанавливай на него хоть allow на всё, кроме скрытых файлов и директорий. Запрещающие права на корень при этом никак не мешают!

     
     
  • 6.124, InuYasha (??), 10:11, 07/10/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    плюсану. Мне вообще понравилась идея выносить устройства с данными на /srv и туда линковать всё что надо.
     

  • 1.77, Аноним12345 (?), 12:40, 06/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Как интересно
    Старые версии апача не подвержены атаке, а новые подвержены
    Это ж праздник какой-то
     
  • 1.79, vantoo (ok), 13:16, 06/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    FreeBSD 12.2, в репах apache24-2.4.49. Обновления пока нет.
     
     
  • 2.82, Аноним (11), 14:09, 06/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Закрой его истинно православным хдвижком. Обретешь покой и умиротворение.
     
     
  • 3.87, Аноним (87), 14:53, 06/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Закоммитить патч, чтоли?
     
     
  • 4.92, Аноним (11), 15:50, 06/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Погодь, пусть немножко пострадают:)
    А в целом "мы работаем над этим".
    Мне вот интересно когда люмину свежую ждать.
     
     
  • 5.94, Аноним (11), 15:55, 06/10/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    И да, в портах уже.
     
  • 2.113, Онаним (?), 21:28, 06/10/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Так откатись на 2.4.48. Или в бзде не откатиться, всегда только самое свеженас... простите, свежесобранное?
     

  • 1.86, Аноним (87), 14:52, 06/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > закодированный при помощи последовательности "%2e" символ точки в пути не нормализировался

    Запахи в оценке чистоты идей кода и систем.

     
     
  • 2.98, Аноним (95), 17:23, 06/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Но ведь в расте такое невозможно! Спойлер: «Возможно!»
     

  • 1.93, Gogi (??), 15:53, 06/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    Тот неловкий момент, когда туn0рылая система юниксовых каталогов была перенесена в мир Веб. Хлебайте теперь!
     
     
  • 2.97, Аноним (95), 17:22, 06/10/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ты так говоришь как будто виндовая говносистема чем-то лучше.
     
     
  • 3.125, СеменСеменыч777 (?), 11:47, 07/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Ты так говоришь как будто виндовая говносистема чем-то лучше.

    разумеется лучше ! наследование, блокировка наследования, блокировка блокировки наследования, группы внутри групп внутри групп - есть где развернуться. рай для ит-зардота.

     

  • 1.100, Хру (?), 18:01, 06/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    А тем временем уже и RCE  подоспело: https://twitter.com/hackerfantastic/status/1445531829985968137
     
  • 1.117, СеменСеменыч777 (?), 07:40, 07/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    вот они красавцы 137 184 69 137 - - 06 Oct 2021 10 23 21 0700 GET cgi-bin ... большой текст свёрнут, показать
     
     
  • 2.118, markus (?), 08:15, 07/10/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    то-есть выход из ситуации, можно просто заблокировать содержимое url /cgi-bin/ ?
     
     
  • 3.120, Аноним (26), 09:58, 07/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Можно спецсимволами и путями возврата обойти ваши совковые WAF.
     
  • 3.122, Аноним (110), 10:03, 07/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ага и вставать с колен такими методами борьбы. Хотя корейские хакеры вас нагнут.
     
  • 2.119, Онаним (?), 08:16, 07/10/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну, киддям скрипты на гвидобейсике заботливо разложили, играются.
     

  • 1.127, Аноним (11), 20:49, 07/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Лалка. В портах ужо 2.4.51 положили.
    Папач точно еще на раст не переписали?
     
     
  • 2.131, Аноним (131), 00:02, 08/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    в 50 не дочинили critical Path Traversal and Remote Code Execution in Apach... большой текст свёрнут, показать
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:
    При перепечатке указание ссылки на opennet.ru обязательно



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру