URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 125449
[ Назад ]
Исходное сообщение
"Уязвимость в http-сервере Apache 2.4.49, позволяющая получить файлы вне корня сайта"
Отправлено opennews , 05-Окт-21 23:32 
В экстренном порядке сформировано обновление http-сервера Apache 2.4.50, в котором устранена уже активно эксплуатируемая 0-day уязвимость (CVE-2021-41773), позволяющая получить доступ к файлам из областей вне корневого каталога сайта. При помощи уязвимости можно загрузить произвольные системные файлы и исходные тексты web-скриптов, доступные для чтения пользователю, под которым запущен http-сервер...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=55924

Содержание
Сообщения в этом обсуждении
"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено Рейка Сметанова , 05-Окт-21 23:32 
Надо было юзатб nginx
"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено Аноним , 05-Окт-21 23:43 
Надо не использовать http для того, для чего он изначально не предпологался.

Развели мартышек

"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено Аноним , 06-Окт-21 00:01 
Ты кроме слова "файл" что-нибудь прочитал в новости?
"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено Robin Bobin , 06-Окт-21 02:31 
у многих mod_rewrite и стало быть обработка урла должна быть передана скрипту
"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено Самый Лучший Гусь , 06-Окт-21 15:35 
Лучше мартышки, чем крокодилы
"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено Аноним , 06-Окт-21 17:56 
Ага, фракталу с iPony расскажи. А то они бедные не знают куда приткнуться.
"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено Аноним , 06-Окт-21 18:04 
Ты смотри сколько обиженных мартишек наминусловало.
"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено Аноним , 06-Окт-21 00:07 
thttpd
"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено Аноним , 06-Окт-21 00:46 
Его ещё на Rust не переписали.
"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено Аноним , 06-Окт-21 09:58 
Тогда будут не только знаки процента
"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено Аноньимъ , 06-Окт-21 05:03 
Чудеса и волшебства веба с кодированием знаками процента ничего уже не спасёт.
"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено Урри , 05-Окт-21 23:36 
Сами внесли, небось.
Сколько за исправление фонд из недавной новости денег отвалит?
"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено Аноним , 05-Окт-21 23:42 
http головного мозга потому что. Файлы по http гонять, бред бреднятский
"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено Dr Nyanpasu , 06-Окт-21 00:43 
Иж чаво удумали, обмажутся своими файлами и давай по сети гонять!
Только буквами!
"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено Enamel , 06-Окт-21 00:49 
А как гонять?
Чтоб на любом устройстве в браузере в один клик
"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено Аноньимъ , 06-Окт-21 05:04 
По FTP!
"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено ryoken , 06-Окт-21 09:58 
Дык его из FF_а фсио, на мороз...
"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено Аноним , 06-Окт-21 18:05 
> Дык его из FF_а фсио, на мороз...

Ды FF и хром фсио, в помойку уже давно.

"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено Аноним , 06-Окт-21 11:54 
Чтобы получить вместо файла что угодно подменённое? Не, спасибо. FTP сдох, туда ему и дорога.
"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено Michael Shigorin , 07-Окт-21 22:59 
>> HTTP
> Чтобы получить вместо файла что угодно подменённое? Не, спасибо. FTP сдох

Барышня, Вы хоть педали не путаете?

Что с уровнями протоколов в голове каша, наиболее удобная как раз профессионалам подмены понятий -- видно даже по этой фразе.

"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено Аноньимъ , 11-Окт-21 01:20 
FTP может работать поверх защищенного соединения, кроме того, никто не отменял цифровой подписи.

Есть альтернативы FTP, для передачи !файлов!. HTTP не одна из них.

Мой комментарий был немного шуткой, в свете глобального уничтожения "устаревших" технологий.
Но только немного.

HTTP предназначен для передачи html !документов!, и больше ничего на самом деле, и только в этой роли можно сказать что он неплох.

"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено Аноним , 06-Окт-21 18:03 
Серьёзно? Ты серьёзно не представляешь как можно передать файл кроме как http?

Занавес чувак, ищи другую работу.

"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено Enamel , 15-Окт-21 05:31 
> Серьёзно? Ты серьёзно не представляешь как можно передать файл кроме как http?

Речь о том, как это сделать с минимальными усилиями на любом устройстве с любой ОС, где есть только браузер, ничего не устанавливая.

"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено Аноним , 06-Окт-21 12:44 
А модный dav не так делает?
"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено Аноним , 06-Окт-21 18:06 
> А модный dav не так делает?

А есть ещё отсталые кому dav интересен? Это же прошлый век

"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено Pahanivo , 06-Окт-21 13:35 
Для некоторых личностей вход на опеннет должен быть со справкой из наркологического диспансера.
"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено Аноним , 06-Окт-21 18:03 
Именно, покажи свою
"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено Sw00p aka Jerom , 05-Окт-21 23:50 
приехали называется
"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено Аноним , 05-Окт-21 23:56 
дебиан опять молодец!
"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено Аноним , 06-Окт-21 00:11 
Папач только под сервером Сысоева! Сысоев кросаффчег! Настоящий снг программист в сишечку,! Смуззяны, вам есть с кого брать пример.
"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено Аноним , 06-Окт-21 00:14 
Однако! Мне было бы очень любопытно узнать кто это накодил и кто это рецензировал/принимал. Ну и на десерт еще чтобы расследование провели и выяснели было ли это намеренным действием или по причине смузихлебства.
"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено x3who , 06-Окт-21 00:36 
Откуда там смузихлебство, у разработчиков гапача наверное старческий маразм просто. С детства при том.
"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено Аноним , 06-Окт-21 11:49 
Откуда? Набижали ж со смуззями. Стариков развратили.
"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено Michael Shigorin , 07-Окт-21 23:00 
Здрасьте, это была история появления apache2 как такового вкратце, что ли?
"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено gogo , 06-Окт-21 00:31 
За что я любил ЦентОС - никаких ролинг-релизов...
Работало себе годами.
Убили...
"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено Аноним , 06-Окт-21 00:36 
Полюби девуана. Пока ядро не проржавело!
"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено Аноним , 06-Окт-21 06:50 
Некрасивое
"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено Аноним , 06-Окт-21 18:06 
проржавело это про rust
"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено анонъчик , 06-Окт-21 14:32 
На всякий случай скажу, что в CentOS 8 и Stream одна и та же версия Апача — 2.4.37, и с появлением слов "rolling release" в описании дистра он не превратился автоматически в Арч.
"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено x3who , 06-Окт-21 00:34 
> Например, запрос вида "https://example.com/cgi-bin/.%2e/.%2e/.%2e/.&... позволял получить содержимое файла "/etc/passwd".

Всегда стараюсь вынести рут и пороха в кастомные места.

О вреде унификации: https://www.schneier.com/blog/archives/2010/12/software_mono...

"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено aa , 06-Окт-21 06:56 
и как это помешает выполнить несколько запросов с разным количеством /.%2e/ ?
"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено пох. , 06-Окт-21 09:05 
один. С большим.

ls -la ../../../../../../../../../../../etc/passwd
-rw-r--r-- 1 root root 1299 Mar  7  2021 ../../../../../../../../../../../etc/passwd

"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено x3who , 06-Окт-21 11:07 
они обычно фигачат по заранее известным местам
"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено aa , 06-Окт-21 15:14 
и?
мы можем выйти из неизвестного корня веб-сервера задав кучу ../ в начале пути, затем добавив известный путь типа /etc/password
"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено Корец , 06-Окт-21 00:38 
>Разработчики были уведомлены о проблеме ещё 17 сентября, но смогли выпустить обновление только сегодня, после того как в сети были зафиксированы случаи применения уязвимости для атаки на сайты.

Да они гонят что ли? %) Ок. В другой раз я дважды подумаю, прежде чем выбрать эту поделку в качетсве веб-сервера.

"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено x3who , 06-Окт-21 00:47 
>  В другой раз я дважды подумаю, прежде чем выбрать эту поделку в качетсве веб-сервера.

А что, им кто-то пользуется? У чуваков на их сайте лет десять висела статья с разъяснением, что веб-серверу ненужна производительность и ею надо жертвовать в угоду конфигурябельности. Статью вроде уже убрали, но все уже давно поняли про масштабы поражения головного мозга разрабов.

"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено x3who , 06-Окт-21 01:10 
А, вот нашел: "Apache is a general webserver, which is designed to be correct first, and fast second. Even so, its performance is quite satisfactory. Most sites have less than 10Mbits of outgoing bandwidth, which Apache can fill using only a low end Pentium-based webserver."

(с) https://web.archive.org/web/20070912083041/http://httpd.apac...


"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено aa , 06-Окт-21 07:00 
ну во-первых тут про "конфигурябельность" ни слова.
и вроде как логично, что любая программа должна в первую очередь работать корректно, а уже потом думать как ускориться.
"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено x3who , 06-Окт-21 11:11 
1. По ссылке есть.

2. Так и получаются корректно работающие медленные приложения

"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено Аноним , 07-Окт-21 00:32 
Какой ужас! Срочно накодьте нам быстрых некорректно работающих!
"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено пох. , 06-Окт-21 09:09 
рюйске опять не умеет читать?
Там написано - производительность _достаточная_ - ср-ный пень прямой поставки из 90х справится с задачей забить канал типичного васяна нахрен.

А за рекордами отдачи статики в сферическом вакууме - не сюда, потому что это - для людей делали.

"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено Аноним , 06-Окт-21 12:35 
Ты опять озверинчик с утренца принял штоли?
"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено Аноним , 06-Окт-21 14:11 
Они вон в фуфлоксе плагины переводчиков кушают и радуются. А ты говоришь читать, переводить...
"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено пох. , 07-Окт-21 12:29 
А, блжад, вероятно ты прав. Там явный канал в астральную преисподнюю в этих плагинах, поэтому если через них читать - можно ознакомиться с новостями из параллельной вселенной. Ну а поскольку канал через преисподнюю - изложение специфическое.

"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено Онаним , 06-Окт-21 09:33 
Смотря что ты понимаешь под производительностью.

При отдаче статики оверхед апача повыше, чем у всяких специализированных дробилок. Но опять же - основную работу на статике делает sendfile, и поэтому если у тебя не CDN-сервер, которых тоннам хомячков отдаёт одну и ту же сотню мартышкиных js с лефтпадами размером менее килобайта (при этом всю сотню можно было таки в один упаковать, но мартышки же) - апача вполне себе хватит для почти любых масштабов бедствия, особенно с mpm_event, который даже мартышкины лефтпады раздавать умеет очень хорошо.

А если у тебя динамика или хотя бы управляемая динамически среда - то тут вообще вариантов нет.
Конфигурироваться прямо из каталогов (.htaccess) кроме апача в таком объёме вообще никто нормально не умеет.

Динамика подключаемыми модулями? Что это? Все статикодробилки в силу плохо приспособленного к задержкам внутри задач кооперативного эвент лупа в лучшем случае могут в FCGI, который сам по себе уже оверхед. Те же пилильщики нгинха вполне себе просекли данный неприятный момент, и теперь есть нгинх юнит, который пытается ужа с ежом. У пыха для тех же целей в угоду костыльщикам на статикодробилках есть php-fpm.

К тому же, опять же, апач с mpm_event делает дробление и статики и FCGI не сильно хуже специализированных дробилок, имея при этом нефиговую управляемость. За исключением corner cases (см. про CDN выше).

Единственный "минус" апача - его огромный конфиг. Который конечно при грамотном подходе сжимается до сопоставимого с этими вашими нгинхами, но для девляпсов этот олдскульный конфиг сложноват конечно будет, да.

"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено Аноним , 06-Окт-21 11:05 
Да забудьте вы уже про sendfile, при практически стопроцентном https он абсолютно неактуален.
"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено Онаним , 06-Окт-21 21:23 
В случае HTTPS, во-первых, всю грязную работу всё равно делает openssl или что там вместо.
А во-вторых, в этом случае оверхед вообще несопоставим с самим апачем :D

Поэтому люди вменяемые HTTPS выносят на отдельные фронтенды, в т.ч. с полуаппаратным или аппаратным шифрованием. А за фронтендами таки sendfile :D

"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено Аноним , 09-Окт-21 14:20 
В системах, где https терминируется на отдельном фронте, апачом статику никто и не раздаёт. :-)

Но в nginx/lighty там будет либо sendfile, либо aio (для крупных файлов). Только не стоит думать, что вызвал один раз sendfile и весь файл улетел, это далеко не так. Но все равно намного эффективнее, чем файл читать, конечно.

"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено Terraforming , 06-Окт-21 01:49 
Docker нас спасет.
"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено Аноним , 06-Окт-21 02:36 
https://openlitespeed.org/kb/using-cgroups-with-openlitespeed/
"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено Аноним , 06-Окт-21 02:12 
Переходите на OpenLiteSpeed
"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено Аноним , 06-Окт-21 03:08 
Вполне ожидаемо для любого проекта apache foundation.
"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено Аноним , 06-Окт-21 11:25 
В nginx, linux, postgresql, redis, postfix, exim типа ошибок нет)
"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено Аноним , 06-Окт-21 11:55 
Типа есть, но там они - форс-мажор и из ряда вон. А тут - майнстрим.
"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено Аноним , 06-Окт-21 12:37 
ИЗ серии "Это другое") Слив защитан.
"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено Аноним , 06-Окт-21 15:57 
В Apache проекты никто не развивает. А в других хотя бы пытаются что-то делать.
"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено Аноним , 06-Окт-21 19:46 
Ещё один. Посмотри Apache Cassandra, Apache Ignite, Apache Kafka. Первая и вторая позиции в крупных проектах активно используются и активно пилятся, но ты же об этом не знаешь.
"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено Аноним , 06-Окт-21 20:06 
Это могильник биоотходов.

Форки Kafka/Cassandra лучше так как на нативном коде.

"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено Аноним , 07-Окт-21 10:01 
Расскажи это Google, Facebook и им подобным. Пусть их смех от твоих слов разорвёт)
"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено Ананоним , 06-Окт-21 03:50 
Я балдею канешно. Всё работало, не, зачесалось код покрасивше написать типа. Ну мы поверили, чо!
"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено Аноним , 06-Окт-21 06:39 
> только в недавно выпущенной версии 2.4.49
> Проблема не проявляется, если доступ к каталогам явно запрещён при помощи настройки "require all denied"

Поленились написать как во всех пердыдущих ?


# Deny access to the entirety of your server's filesystem. You must
# explicitly permit access to web content directories in other 
# <Directory> blocks below.
#
<Directory />
    AllowOverride none
    Require all denied
</Directory>

"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено Аноним , 06-Окт-21 08:10 
Все просто .htaccess файлы не нужны это максимально ненужная фича.
"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено ыы , 06-Окт-21 06:41 
>проблема проявляется только в недавно выпущенной версии 2.4.49 и не затрагивает все более ранние выпуски.

Апдейты- зло!

"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено Аноним , 06-Окт-21 07:35 
>уже активно эксплуатируемая 0-day уязвимость

Эксплоитера уже посадили, или работа в трёхбуквенншй организации даёт +100500 к иммунитету?

"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено Аноним , 06-Окт-21 10:26 
> работа в трёхбуквенншй организации

Вы такие загадочные, в плаще до земли и с надвинутой на глаза шляпой с полями... Разъясните тугодуму, это где, в ЖЭУ или IBM?

"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено Аноним , 06-Окт-21 10:28 
КГБ
"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено Аноним , 06-Окт-21 10:39 
FBI
"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено Аноним , 06-Окт-21 12:39 
NSA
"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено Аноним , 06-Окт-21 15:58 
CIA
"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено три , 07-Окт-21 05:57 
ЖЭК
"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено InuYasha , 07-Окт-21 10:09 
СБУ
"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено Michael Shigorin , 07-Окт-21 23:03 
ASF же!
"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено Аноним , 06-Окт-21 08:08 
Список годных проектов от Apache:
"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено Аноним , 06-Окт-21 11:23 
Cassandra, Ignite, Kafka.
"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено Аноним , 06-Окт-21 21:11 
ScyllaDB, Redpanda
"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено lockywolf , 06-Окт-21 08:50 
Лучший вебсервер! Нашли и пофиксили.
"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено markus , 06-Окт-21 09:10 
Решил проверить свои сайты.
Apache 2.4.49.
Использую скрипты:
https://github.com/ZephrFish/CVE-2021-41773-PoC
https://github.com/iilegacyyii/PoC-CVE-2021-41773

Настройка virtulhost.
<Directory />
    DirectoryIndex index.php
    Options +FollowSymLinks -Indexes
    AllowOverride All
    Require all granted
</Directory>

Двумя скриптами проверил.
site.local Not Vulnerable
[-] https://site.local not vulnerable

Странно, уязвимости нет.

"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено Онаним , 06-Окт-21 09:21 
Ну вообще да, запрет для корня и разрешения для отдельных каталогов - это нормальная практика, которой пренебрегать не стоит.

С другой стороны даже это не позволит обойти возможность таким способом отдачи скрипта в виде текста, если есть симлинки к докрутам где-то, например. Но их ещё найти надо, это уже не так тривиально.

Мне правда ничего делать не пришлось, я ещё с 2.4.48 не успел шагнуть, обычно стараюсь пропустить 1-2-3 релиза прежде чем билдить новый, если конечно нет ничего совсем уж критичного в changelog. Continuous vulnerability deployment - это не про меня.

"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено Аноним , 06-Окт-21 10:11 
А зачем что-то выполнять когда можно просто скачать базу данных если она есть.
"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено Аноним , 06-Окт-21 10:01 
А дебиан 9 уже не поддерживается? А то лень обновлять на 11, работает уже 4 года...
"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено Аноним , 06-Окт-21 10:09 
Зачем обновлять это рассадник дыр? Там уже своя экосистема. Доступ на твой дедик продали и теперь и кто-то очень огорчится если ты всё это закроешь.
"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено Аноним , 06-Окт-21 10:26 
На хостингах он все равно работает в отдельном пользователе на каждый аккаунт. Или на каждый сайт
"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено Аноним , 06-Окт-21 10:38 
PaaS это каменный век. Сейчас каждого хотя бы слегка уважающего себя веб-разработчика IaaS.
"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено Аноним , 06-Окт-21 11:50 
А вот в няшном httpd и relayd от тео такого нет.
"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено Аноним , 06-Окт-21 12:15 
Многих фич Апача у них тоже нет.
"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено Аноним , 06-Окт-21 12:33 
Зиродеев в смысле? Да, ощутимо меньше.
"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено Аноним , 06-Окт-21 19:41 
Кому и зиродей фича.
"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено Аноним , 06-Окт-21 12:26 
>При помощи уязвимости можно загрузить доступные для чтения пользователю, под которым запущен http-сервер.

Внатуре 0-дау, это не лечится, наука бессильна.

"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено Ilya Indigo , 06-Окт-21 12:39 
<Directory />
    AllowOverride none
    Require all denied
</Directory>

Разве это в конфигах индейца по умолчанию не прописано?

"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено BorichL , 06-Окт-21 15:12 
Прописано.
"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено Ilya Indigo , 06-Окт-21 15:18 
> Прописано.

Тогда мне не понятно, каким образом эта уязвимость может эксплуатироваться, причём активно?

"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено Онаним , 06-Окт-21 21:27 
Ну ты же понимаешь, это слишком сложно, надо ещё какие-то права расставлять, а не как в этих ваших нгинхах. В итоге берут - и делают allow на всё.
"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено Ilya Indigo , 06-Окт-21 21:39 
> Ну ты же понимаешь, это слишком сложно, надо ещё какие-то права расставлять,
> а не как в этих ваших нгинхах. В итоге берут -
> и делают allow на всё.

Ну так бери конфиг хоста у которого doc_root, например в /srv/www/htdocs/host и устанавливай на него хоть allow на всё, кроме скрытых файлов и директорий. Запрещающие права на корень при этом никак не мешают!

"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено InuYasha , 07-Окт-21 10:11 
плюсану. Мне вообще понравилась идея выносить устройства с данными на /srv и туда линковать всё что надо.
"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено Аноним12345 , 06-Окт-21 12:40 
Как интересно
Старые версии апача не подвержены атаке, а новые подвержены
Это ж праздник какой-то
"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено vantoo , 06-Окт-21 13:16 
FreeBSD 12.2, в репах apache24-2.4.49. Обновления пока нет.
"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено Аноним , 06-Окт-21 14:09 
Закрой его истинно православным хдвижком. Обретешь покой и умиротворение.
"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено Аноним , 06-Окт-21 14:53 
Закоммитить патч, чтоли?
"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено Аноним , 06-Окт-21 15:50 
Погодь, пусть немножко пострадают:)
А в целом "мы работаем над этим".
Мне вот интересно когда люмину свежую ждать.
"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено Аноним , 06-Окт-21 15:55 
И да, в портах уже.
"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено Онаним , 06-Окт-21 21:28 
Так откатись на 2.4.48. Или в бзде не откатиться, всегда только самое свеженас... простите, свежесобранное?
"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено Аноним , 06-Окт-21 14:52 
> закодированный при помощи последовательности "%2e" символ точки в пути не нормализировался

Запахи в оценке чистоты идей кода и систем.

"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено Аноним , 06-Окт-21 17:23 
Но ведь в расте такое невозможно! Спойлер: «Возможно!»
"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено Gogi , 06-Окт-21 15:53 
Тот неловкий момент, когда туn0рылая система юниксовых каталогов была перенесена в мир Веб. Хлебайте теперь!
"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено Аноним , 06-Окт-21 17:22 
Ты так говоришь как будто виндовая говносистема чем-то лучше.
"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено СеменСеменыч777 , 07-Окт-21 11:47 
> Ты так говоришь как будто виндовая говносистема чем-то лучше.

разумеется лучше ! наследование, блокировка наследования, блокировка блокировки наследования, группы внутри групп внутри групп - есть где развернуться. рай для ит-зардота.

"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено Хру , 06-Окт-21 18:01 
А тем временем уже и RCE  подоспело: https://twitter.com/hackerfantastic/status/1445531829985968137
"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено СеменСеменыч777 , 07-Окт-21 07:40 
вот они красавцы

137.184.69.137 - - [06/Oct/2021:10:23:21 +0700] "GET /cgi-bin/.%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd HTTP/1.1" 403 3436 "-" "Mozilla/5.0 zgrab/0.x"
103.150.214.153 - - [06/Oct/2021:11:39:37 +0700] "GET /cgi-bin/.%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd HTTP/1.1" 403 496 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.111 Safari/537.36"
103.150.214.153 - - [06/Oct/2021:11:39:37 +0700] "GET /cgi-bin/.%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd HTTP/1.1" 301 643 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.111 Safari/537.36"
103.150.214.153 - - [06/Oct/2021:11:39:37 +0700] "GET /cgi-bin/.%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd HTTP/1.1" 403 496 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.111 Safari/537.36"
103.150.215.200 - - [06/Oct/2021:11:39:56 +0700] "GET /cgi-bin/.%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd HTTP/1.1" 403 3694 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.111 Safari/537.36"
103.150.214.153 - - [07/Oct/2021:05:29:06 +0700] "GET /cgi-bin/.%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd HTTP/1.1" 403 496 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.111 Safari/537.36"
103.150.214.153 - - [07/Oct/2021:05:29:07 +0700] "GET /cgi-bin/.%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd HTTP/1.1" 301 643 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.111 Safari/537.36"
103.150.214.153 - - [07/Oct/2021:05:29:07 +0700] "GET /cgi-bin/.%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd HTTP/1.1" 403 496 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.111 Safari/537.36"
103.150.214.153 - - [07/Oct/2021:05:32:34 +0700] "GET /cgi-bin/.%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd HTTP/1.1" 403 3694 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.111 Safari/537.36"

"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено markus , 07-Окт-21 08:15 
то-есть выход из ситуации, можно просто заблокировать содержимое url /cgi-bin/ ?
"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено Аноним , 07-Окт-21 09:58 
Можно спецсимволами и путями возврата обойти ваши совковые WAF.
"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено Аноним , 07-Окт-21 10:03 
Ага и вставать с колен такими методами борьбы. Хотя корейские хакеры вас нагнут.
"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено Онаним , 07-Окт-21 08:16 
Ну, киддям скрипты на гвидобейсике заботливо разложили, играются.
"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено Аноним , 07-Окт-21 20:49 
Лалка. В портах ужо 2.4.51 положили.
Папач точно еще на раст не переписали?
"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено Аноним , 08-Окт-21 00:02 
в .50 не дочинили...


critical: Path Traversal and Remote Code Execution in Apache HTTP Server 2.4.49 and 2.4.50 (incomplete fix of CVE-2021-41773) (CVE-2021-42013).

It was found that the fix for CVE-2021-41773 in Apache HTTP Server 2.4.50 was insufficient. An attacker could use a path traversal attack to map URLs to files outside the directories configured by Alias-like directives.

If files outside of these directories are not protected by the usual default configuration "require all denied", these requests can succeed. If CGI scripts are also enabled for these aliased pathes, this could allow for remote code execution.

This issue only affects Apache 2.4.49 and Apache 2.4.50 and not earlier versions.

Acknowledgements: Reported by Juan Escobar from Dreamlab Technologies, Fernando Munoz from NULL Life CTF Team, and Shungo Kumasaka

"Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."
Отправлено Аноним , 02-Мрт-22 22:29 
Shell