Обновление обновления

В недавно вышедшей Apache HTTP server, как выяснилось, есть активно эксплуатируемая критическая уязвимость, создающая риск атаки обратного пути. Для фикса потребовалось два патча: сначала вышел неполный 2.4.50, а затем его доработали по комментариям исследователей в 2.4.51. Обновляться нужно срочно.

Уязвимость касается фикса нормализации путей, сделанного в недавно вышедшей версии 2.4.49. Атаки с "../" ловятся, а вот с %2E и %2e (закодированная точка) — уже нет. Уязвимость затрагивала только сервера на v.2.4.49. Ещё нужно, чтобы в контроле доступа не было require all denied. Увы, кажется, это стандартная конфигурация.

Далее выяснилось, что эта же уязвимость на Линуксах допускает RCE-атаку. Нужно, чтобы через mod_cgi была включена поддержка CGI. Здесь хакер сможет по цепочке через path traversal-атаку перейти к выполнению произвольного кода с теми же правами, что у Apache-процесса. Обнаружили это случайно, пока воспроизводили опубликованный Apache PoC по уязвимости.