The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход/выход
слежка
RSS


"Уязвимость в http-сервере Apache 2.4.49, позволяющая получить файлы вне корня сайта"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость в http-сервере Apache 2.4.49, позволяющая получить файлы вне корня сайта"  +/
Сообщение от opennews (ok), 05-Окт-21, 23:32 
В экстренном порядке сформировано обновление http-сервера Apache 2.4.50, в котором устранена уже активно эксплуатируемая 0-day уязвимость (CVE-2021-41773), позволяющая получить доступ к файлам из областей вне корневого каталога сайта. При помощи уязвимости можно загрузить произвольные системные файлы и исходные тексты web-скриптов, доступные для чтения пользователю, под которым запущен http-сервер...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=55924

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Рейка Сметанова (ok), 05-Окт-21, 23:32   –7 +/
Надо было юзатб nginx
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #5, #10, #19, #31

3. Сообщение от Урри (ok), 05-Окт-21, 23:36   +1 +/
Сами внесли, небось.
Сколько за исправление фонд из недавной новости денег отвалит?
Ответить | Правка | Наверх | Cообщить модератору

4. Сообщение от Аноним (5), 05-Окт-21, 23:42   –17 +/
http головного мозга потому что. Файлы по http гонять, бред бреднятский
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #18, #21, #78, #81

5. Сообщение от Аноним (5), 05-Окт-21, 23:43   –10 +/
Надо не использовать http для того, для чего он изначально не предпологался.

Развели мартышек

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #9, #25, #91, #103

7. Сообщение от Sw00p aka Jerom (?), 05-Окт-21, 23:50   +/
приехали называется
Ответить | Правка | Наверх | Cообщить модератору

8. Сообщение от Аноним (8), 05-Окт-21, 23:56   +/
дебиан опять молодец!
Ответить | Правка | Наверх | Cообщить модератору

9. Сообщение от Аноним (9), 06-Окт-21, 00:01   +3 +/
Ты кроме слова "файл" что-нибудь прочитал в новости?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

10. Сообщение от Аноним (10), 06-Окт-21, 00:07   +/
thttpd
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

11. Сообщение от Аноним (11), 06-Окт-21, 00:11   –8 +/
Папач только под сервером Сысоева! Сысоев кросаффчег! Настоящий снг программист в сишечку,! Смуззяны, вам есть с кого брать пример.
Ответить | Правка | Наверх | Cообщить модератору

12. Сообщение от Аноним (12), 06-Окт-21, 00:14   +/
Однако! Мне было бы очень любопытно узнать кто это накодил и кто это рецензировал/принимал. Ну и на десерт еще чтобы расследование провели и выяснели было ли это намеренным действием или по причине смузихлебства.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #16

13. Сообщение от gogo (?), 06-Окт-21, 00:31   +1 +/
За что я любил ЦентОС - никаких ролинг-релизов...
Работало себе годами.
Убили...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #15, #85

14. Сообщение от x3who (?), 06-Окт-21, 00:34   –1 +/
> Например, запрос вида "https://example.com/cgi-bin/.%2e/.%2e/.%2e/.&... позволял получить содержимое файла "/etc/passwd".

Всегда стараюсь вынести рут и пороха в кастомные места.

О вреде унификации: https://www.schneier.com/blog/archives/2010/12/software_mono...

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #37

15. Сообщение от Аноним (11), 06-Окт-21, 00:36   +1 +/
Полюби девуана. Пока ядро не проржавело!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #36, #106

16. Сообщение от x3who (?), 06-Окт-21, 00:36   –2 +/
Откуда там смузихлебство, у разработчиков гапача наверное старческий маразм просто. С детства при том.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #65

17. Сообщение от Корец (?), 06-Окт-21, 00:38   –2 +/
>Разработчики были уведомлены о проблеме ещё 17 сентября, но смогли выпустить обновление только сегодня, после того как в сети были зафиксированы случаи применения уязвимости для атаки на сайты.

Да они гонят что ли? %) Ок. В другой раз я дважды подумаю, прежде чем выбрать эту поделку в качетсве веб-сервера.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #20

18. Сообщение от Dr Nyanpasu (?), 06-Окт-21, 00:43   +12 +/
Иж чаво удумали, обмажутся своими файлами и давай по сети гонять!
Только буквами!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

19. Сообщение от Аноним (19), 06-Окт-21, 00:46   +2 +/
Его ещё на Rust не переписали.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #48

20. Сообщение от x3who (?), 06-Окт-21, 00:47   –4 +/
>  В другой раз я дважды подумаю, прежде чем выбрать эту поделку в качетсве веб-сервера.

А что, им кто-то пользуется? У чуваков на их сайте лет десять висела статья с разъяснением, что веб-серверу ненужна производительность и ею надо жертвовать в угоду конфигурябельности. Статью вроде уже убрали, но все уже давно поняли про масштабы поражения головного мозга разрабов.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #22, #44, #47

21. Сообщение от Enamel (ok), 06-Окт-21, 00:49   +1 +/
А как гонять?
Чтоб на любом устройстве в браузере в один клик
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #32, #101

22. Сообщение от x3who (?), 06-Окт-21, 01:10   –1 +/
А, вот нашел: "Apache is a general webserver, which is designed to be correct first, and fast second. Even so, its performance is quite satisfactory. Most sites have less than 10Mbits of outgoing bandwidth, which Apache can fill using only a low end Pentium-based webserver."

(с) https://web.archive.org/web/20070912083041/http://httpd.apac...


Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #38

23. Сообщение от Terraforming (ok), 06-Окт-21, 01:49   –2 +/
Docker нас спасет.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #26

24. Сообщение от Аноним (26), 06-Окт-21, 02:12   –3 +/
Переходите на OpenLiteSpeed
Ответить | Правка | Наверх | Cообщить модератору

25. Сообщение от Robin Bobin (?), 06-Окт-21, 02:31   +/
у многих mod_rewrite и стало быть обработка урла должна быть передана скрипту
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

26. Сообщение от Аноним (26), 06-Окт-21, 02:36   +/
https://openlitespeed.org/kb/using-cgroups-with-openlitespeed/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

27. Сообщение от Аноним (67), 06-Окт-21, 03:08   +/
Вполне ожидаемо для любого проекта apache foundation.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #63

29. Сообщение от Ананоним (?), 06-Окт-21, 03:50   –4 +/
Я балдею канешно. Всё работало, не, зачесалось код покрасивше написать типа. Ну мы поверили, чо!
Ответить | Правка | Наверх | Cообщить модератору

31. Сообщение от Аноньимъ (ok), 06-Окт-21, 05:03   –1 +/
Чудеса и волшебства веба с кодированием знаками процента ничего уже не спасёт.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

32. Сообщение от Аноньимъ (ok), 06-Окт-21, 05:04   –4 +/
По FTP!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #49, #67

34. Сообщение от Аноним (34), 06-Окт-21, 06:39   +/
> только в недавно выпущенной версии 2.4.49
> Проблема не проявляется, если доступ к каталогам явно запрещён при помощи настройки "require all denied"

Поленились написать как во всех пердыдущих ?


# Deny access to the entirety of your server's filesystem. You must
# explicitly permit access to web content directories in other 
# <Directory> blocks below.
#
<Directory />
    AllowOverride none
    Require all denied
</Directory>

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #41

35. Сообщение от ыы (?), 06-Окт-21, 06:41   –2 +/
>проблема проявляется только в недавно выпущенной версии 2.4.49 и не затрагивает все более ранние выпуски.

Апдейты- зло!

Ответить | Правка | Наверх | Cообщить модератору

36. Сообщение от Аноним (36), 06-Окт-21, 06:50   +1 +/
Некрасивое
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

37. Сообщение от aa (?), 06-Окт-21, 06:56   +1 +/
и как это помешает выполнить несколько запросов с разным количеством /.%2e/ ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #43, #60

38. Сообщение от aa (?), 06-Окт-21, 07:00   +4 +/
ну во-первых тут про "конфигурябельность" ни слова.
и вроде как логично, что любая программа должна в первую очередь работать корректно, а уже потом думать как ускориться.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #61

39. Сообщение от Аноним (39), 06-Окт-21, 07:35   –1 +/
>уже активно эксплуатируемая 0-day уязвимость

Эксплоитера уже посадили, или работа в трёхбуквенншй организации даёт +100500 к иммунитету?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #54

40. Сообщение от Аноним (41), 06-Окт-21, 08:08   –4 +/
Список годных проектов от Apache:
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #62

41. Сообщение от Аноним (41), 06-Окт-21, 08:10   –3 +/
Все просто .htaccess файлы не нужны это максимально ненужная фича.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

42. Сообщение от lockywolf (ok), 06-Окт-21, 08:50   +/
Лучший вебсервер! Нашли и пофиксили.
Ответить | Правка | Наверх | Cообщить модератору

43. Сообщение от пох. (?), 06-Окт-21, 09:05   –1 +/
один. С большим.

ls -la ../../../../../../../../../../../etc/passwd
-rw-r--r-- 1 root root 1299 Mar  7  2021 ../../../../../../../../../../../etc/passwd

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37

44. Сообщение от пох. (?), 06-Окт-21, 09:09   –2 +/
рюйске опять не умеет читать?
Там написано - производительность _достаточная_ - ср-ный пень прямой поставки из 90х справится с задачей забить канал типичного васяна нахрен.

А за рекордами отдачи статики в сферическом вакууме - не сюда, потому что это - для людей делали.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #72, #83

45. Сообщение от markus (?), 06-Окт-21, 09:10   –1 +/
Решил проверить свои сайты.
Apache 2.4.49.
Использую скрипты:
https://github.com/ZephrFish/CVE-2021-41773-PoC
https://github.com/iilegacyyii/PoC-CVE-2021-41773

Настройка virtulhost.
<Directory />
    DirectoryIndex index.php
    Options +FollowSymLinks -Indexes
    AllowOverride All
    Require all granted
</Directory>

Двумя скриптами проверил.
site.local Not Vulnerable
[-] https://site.local not vulnerable

Странно, уязвимости нет.

Ответить | Правка | Наверх | Cообщить модератору

46. Сообщение от Онаним (?), 06-Окт-21, 09:21   +/
Ну вообще да, запрет для корня и разрешения для отдельных каталогов - это нормальная практика, которой пренебрегать не стоит.

С другой стороны даже это не позволит обойти возможность таким способом отдачи скрипта в виде текста, если есть симлинки к докрутам где-то, например. Но их ещё найти надо, это уже не так тривиально.

Мне правда ничего делать не пришлось, я ещё с 2.4.48 не успел шагнуть, обычно стараюсь пропустить 1-2-3 релиза прежде чем билдить новый, если конечно нет ничего совсем уж критичного в changelog. Continuous vulnerability deployment - это не про меня.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #53

47. Сообщение от Онаним (?), 06-Окт-21, 09:33   +3 +/
Смотря что ты понимаешь под производительностью.

При отдаче статики оверхед апача повыше, чем у всяких специализированных дробилок. Но опять же - основную работу на статике делает sendfile, и поэтому если у тебя не CDN-сервер, которых тоннам хомячков отдаёт одну и ту же сотню мартышкиных js с лефтпадами размером менее килобайта (при этом всю сотню можно было таки в один упаковать, но мартышки же) - апача вполне себе хватит для почти любых масштабов бедствия, особенно с mpm_event, который даже мартышкины лефтпады раздавать умеет очень хорошо.

А если у тебя динамика или хотя бы управляемая динамически среда - то тут вообще вариантов нет.
Конфигурироваться прямо из каталогов (.htaccess) кроме апача в таком объёме вообще никто нормально не умеет.

Динамика подключаемыми модулями? Что это? Все статикодробилки в силу плохо приспособленного к задержкам внутри задач кооперативного эвент лупа в лучшем случае могут в FCGI, который сам по себе уже оверхед. Те же пилильщики нгинха вполне себе просекли данный неприятный момент, и теперь есть нгинх юнит, который пытается ужа с ежом. У пыха для тех же целей в угоду костыльщикам на статикодробилках есть php-fpm.

К тому же, опять же, апач с mpm_event делает дробление и статики и FCGI не сильно хуже специализированных дробилок, имея при этом нефиговую управляемость. За исключением corner cases (см. про CDN выше).

Единственный "минус" апача - его огромный конфиг. Который конечно при грамотном подходе сжимается до сопоставимого с этими вашими нгинхами, но для девляпсов этот олдскульный конфиг сложноват конечно будет, да.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #59

48. Сообщение от Аноним (48), 06-Окт-21, 09:58   +/
Тогда будут не только знаки процента
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

49. Сообщение от ryoken (ok), 06-Окт-21, 09:58   –1 +/
Дык его из FF_а фсио, на мороз...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32 Ответы: #104

50. Сообщение от Аноним (48), 06-Окт-21, 10:01   –2 +/
А дебиан 9 уже не поддерживается? А то лень обновлять на 11, работает уже 4 года...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #52

52. Сообщение от Аноним (95), 06-Окт-21, 10:09   +7 +/
Зачем обновлять это рассадник дыр? Там уже своя экосистема. Доступ на твой дедик продали и теперь и кто-то очень огорчится если ты всё это закроешь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50

53. Сообщение от Аноним (95), 06-Окт-21, 10:11   +/
А зачем что-то выполнять когда можно просто скачать базу данных если она есть.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46

54. Сообщение от Аноним (54), 06-Окт-21, 10:26   +1 +/
> работа в трёхбуквенншй организации

Вы такие загадочные, в плаще до земли и с надвинутой на глаза шляпой с полями... Разъясните тугодуму, это где, в ЖЭУ или IBM?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39 Ответы: #56, #130

55. Сообщение от Аноним (56), 06-Окт-21, 10:26   +/
На хостингах он все равно работает в отдельном пользователе на каждый аккаунт. Или на каждый сайт
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #57

56. Сообщение от Аноним (56), 06-Окт-21, 10:28   +/
КГБ
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54 Ответы: #58

57. Сообщение от Аноним (95), 06-Окт-21, 10:38   +/
PaaS это каменный век. Сейчас каждого хотя бы слегка уважающего себя веб-разработчика IaaS.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55

58. Сообщение от Аноним (95), 06-Окт-21, 10:39   +/
FBI
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56 Ответы: #76

59. Сообщение от Аноним (59), 06-Окт-21, 11:05   –2 +/
Да забудьте вы уже про sendfile, при практически стопроцентном https он абсолютно неактуален.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47 Ответы: #111

60. Сообщение от x3who (?), 06-Окт-21, 11:07   –1 +/
они обычно фигачат по заранее известным местам
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37 Ответы: #89

61. Сообщение от x3who (?), 06-Окт-21, 11:11   –2 +/
1. По ссылке есть.

2. Так и получаются корректно работающие медленные приложения

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38 Ответы: #115

62. Сообщение от Аноним (63), 06-Окт-21, 11:23   –2 +/
Cassandra, Ignite, Kafka.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40 Ответы: #110

63. Сообщение от Аноним (63), 06-Окт-21, 11:25   +/
В nginx, linux, postgresql, redis, postfix, exim типа ошибок нет)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27 Ответы: #68, #95

65. Сообщение от Аноним (11), 06-Окт-21, 11:49   +/
Откуда? Набижали ж со смуззями. Стариков развратили.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #129

66. Сообщение от Аноним (11), 06-Окт-21, 11:50   –2 +/
А вот в няшном httpd и relayd от тео такого нет.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #69

67. Сообщение от Аноним (67), 06-Окт-21, 11:54   –4 +/
Чтобы получить вместо файла что угодно подменённое? Не, спасибо. FTP сдох, туда ему и дорога.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32 Ответы: #128, #133

68. Сообщение от Аноним (67), 06-Окт-21, 11:55   –2 +/
Типа есть, но там они - форс-мажор и из ряда вон. А тут - майнстрим.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63 Ответы: #74

69. Сообщение от Аноним (69), 06-Окт-21, 12:15   +/
Многих фич Апача у них тоже нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #66 Ответы: #71

70. Сообщение от Аноним (70), 06-Окт-21, 12:26   +/
>При помощи уязвимости можно загрузить доступные для чтения пользователю, под которым запущен http-сервер.

Внатуре 0-дау, это не лечится, наука бессильна.

Ответить | Правка | Наверх | Cообщить модератору

71. Сообщение от Аноним (11), 06-Окт-21, 12:33   +/
Зиродеев в смысле? Да, ощутимо меньше.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #69 Ответы: #107

72. Сообщение от Аноним (11), 06-Окт-21, 12:35   +1 +/
Ты опять озверинчик с утренца принял штоли?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

74. Сообщение от Аноним (63), 06-Окт-21, 12:37   +1 +/
ИЗ серии "Это другое") Слив защитан.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #68

75. Сообщение от Ilya Indigo (ok), 06-Окт-21, 12:39   +/
<Directory />
    AllowOverride none
    Require all denied
</Directory>

Разве это в конфигах индейца по умолчанию не прописано?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #88

76. Сообщение от Аноним (11), 06-Окт-21, 12:39   –1 +/
NSA
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58 Ответы: #96

77. Сообщение от Аноним12345 (?), 06-Окт-21, 12:40   +/
Как интересно
Старые версии апача не подвержены атаке, а новые подвержены
Это ж праздник какой-то
Ответить | Правка | Наверх | Cообщить модератору

78. Сообщение от Аноним (78), 06-Окт-21, 12:44   +/
А модный dav не так делает?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #105

79. Сообщение от vantoo (ok), 06-Окт-21, 13:16   +/
FreeBSD 12.2, в репах apache24-2.4.49. Обновления пока нет.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #82, #113

81. Сообщение от Pahanivo (ok), 06-Окт-21, 13:35   +3 +/
Для некоторых личностей вход на опеннет должен быть со справкой из наркологического диспансера.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #102

82. Сообщение от Аноним (11), 06-Окт-21, 14:09   +/
Закрой его истинно православным хдвижком. Обретешь покой и умиротворение.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #79 Ответы: #87

83. Сообщение от Аноним (11), 06-Окт-21, 14:11   +/
Они вон в фуфлоксе плагины переводчиков кушают и радуются. А ты говоришь читать, переводить...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44 Ответы: #126

85. Сообщение от анонъчик (?), 06-Окт-21, 14:32   +/
На всякий случай скажу, что в CentOS 8 и Stream одна и та же версия Апача — 2.4.37, и с появлением слов "rolling release" в описании дистра он не превратился автоматически в Арч.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

86. Сообщение от Аноним (87), 06-Окт-21, 14:52   –1 +/
> закодированный при помощи последовательности "%2e" символ точки в пути не нормализировался

Запахи в оценке чистоты идей кода и систем.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #98

87. Сообщение от Аноним (87), 06-Окт-21, 14:53   +/
Закоммитить патч, чтоли?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #82 Ответы: #92

88. Сообщение от BorichL (ok), 06-Окт-21, 15:12   +/
Прописано.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #75 Ответы: #90

89. Сообщение от aa (?), 06-Окт-21, 15:14   +/
и?
мы можем выйти из неизвестного корня веб-сервера задав кучу ../ в начале пути, затем добавив известный путь типа /etc/password
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60

90. Сообщение от Ilya Indigo (ok), 06-Окт-21, 15:18   –1 +/
> Прописано.

Тогда мне не понятно, каким образом эта уязвимость может эксплуатироваться, причём активно?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #88 Ответы: #112

91. Сообщение от Самый Лучший Гусь (?), 06-Окт-21, 15:35   –1 +/
Лучше мартышки, чем крокодилы
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #99

92. Сообщение от Аноним (11), 06-Окт-21, 15:50   +/
Погодь, пусть немножко пострадают:)
А в целом "мы работаем над этим".
Мне вот интересно когда люмину свежую ждать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #87 Ответы: #94

93. Сообщение от Gogi (??), 06-Окт-21, 15:53   –5 +/
Тот неловкий момент, когда туn0рылая система юниксовых каталогов была перенесена в мир Веб. Хлебайте теперь!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #97

94. Сообщение от Аноним (11), 06-Окт-21, 15:55   +1 +/
И да, в портах уже.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #92

95. Сообщение от Аноним (95), 06-Окт-21, 15:57   –1 +/
В Apache проекты никто не развивает. А в других хотя бы пытаются что-то делать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63 Ответы: #108

96. Сообщение от Аноним (95), 06-Окт-21, 15:58   +/
CIA
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #76 Ответы: #116

97. Сообщение от Аноним (95), 06-Окт-21, 17:22   +1 +/
Ты так говоришь как будто виндовая говносистема чем-то лучше.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #93 Ответы: #125

98. Сообщение от Аноним (95), 06-Окт-21, 17:23   +/
Но ведь в расте такое невозможно! Спойлер: «Возможно!»
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #86

99. Сообщение от Аноним (99), 06-Окт-21, 17:56   +/
Ага, фракталу с iPony расскажи. А то они бедные не знают куда приткнуться.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #91

100. Сообщение от Хру (?), 06-Окт-21, 18:01   +1 +/
А тем временем уже и RCE  подоспело: https://twitter.com/hackerfantastic/status/1445531829985968137
Ответить | Правка | Наверх | Cообщить модератору

101. Сообщение от Аноним (99), 06-Окт-21, 18:03   +/
Серьёзно? Ты серьёзно не представляешь как можно передать файл кроме как http?

Занавес чувак, ищи другую работу.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #134

102. Сообщение от Аноним (99), 06-Окт-21, 18:03   +1 +/
Именно, покажи свою
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #81

103. Сообщение от Аноним (99), 06-Окт-21, 18:04   +/
Ты смотри сколько обиженных мартишек наминусловало.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

104. Сообщение от Аноним (99), 06-Окт-21, 18:05   +/
> Дык его из FF_а фсио, на мороз...

Ды FF и хром фсио, в помойку уже давно.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49

105. Сообщение от Аноним (99), 06-Окт-21, 18:06   +/
> А модный dav не так делает?

А есть ещё отсталые кому dav интересен? Это же прошлый век

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #78

106. Сообщение от Аноним (99), 06-Окт-21, 18:06   –2 +/
проржавело это про rust
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

107. Сообщение от Аноним (69), 06-Окт-21, 19:41   +2 +/
Кому и зиродей фича.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #71

108. Сообщение от Аноним (108), 06-Окт-21, 19:46   –2 +/
Ещё один. Посмотри Apache Cassandra, Apache Ignite, Apache Kafka. Первая и вторая позиции в крупных проектах активно используются и активно пилятся, но ты же об этом не знаешь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #95 Ответы: #109

109. Сообщение от Аноним (26), 06-Окт-21, 20:06   +/
Это могильник биоотходов.

Форки Kafka/Cassandra лучше так как на нативном коде.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #108 Ответы: #121

110. Сообщение от Аноним (110), 06-Окт-21, 21:11   +/
ScyllaDB, Redpanda
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62

111. Сообщение от Онаним (?), 06-Окт-21, 21:23   +1 +/
В случае HTTPS, во-первых, всю грязную работу всё равно делает openssl или что там вместо.
А во-вторых, в этом случае оверхед вообще несопоставим с самим апачем :D

Поэтому люди вменяемые HTTPS выносят на отдельные фронтенды, в т.ч. с полуаппаратным или аппаратным шифрованием. А за фронтендами таки sendfile :D

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59 Ответы: #132

112. Сообщение от Онаним (?), 06-Окт-21, 21:27   –1 +/
Ну ты же понимаешь, это слишком сложно, надо ещё какие-то права расставлять, а не как в этих ваших нгинхах. В итоге берут - и делают allow на всё.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #90 Ответы: #114

113. Сообщение от Онаним (?), 06-Окт-21, 21:28   –1 +/
Так откатись на 2.4.48. Или в бзде не откатиться, всегда только самое свеженас... простите, свежесобранное?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #79

114. Сообщение от Ilya Indigo (ok), 06-Окт-21, 21:39   –1 +/
> Ну ты же понимаешь, это слишком сложно, надо ещё какие-то права расставлять,
> а не как в этих ваших нгинхах. В итоге берут -
> и делают allow на всё.

Ну так бери конфиг хоста у которого doc_root, например в /srv/www/htdocs/host и устанавливай на него хоть allow на всё, кроме скрытых файлов и директорий. Запрещающие права на корень при этом никак не мешают!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #112 Ответы: #124

115. Сообщение от Аноним (115), 07-Окт-21, 00:32   +2 +/
Какой ужас! Срочно накодьте нам быстрых некорректно работающих!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #61

116. Сообщение от три (?), 07-Окт-21, 05:57   +/
ЖЭК
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #96 Ответы: #123

117. Сообщение от СеменСеменыч777 (?), 07-Окт-21, 07:40   +1 +/
вот они красавцы

137.184.69.137 - - [06/Oct/2021:10:23:21 +0700] "GET /cgi-bin/.%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd HTTP/1.1" 403 3436 "-" "Mozilla/5.0 zgrab/0.x"
103.150.214.153 - - [06/Oct/2021:11:39:37 +0700] "GET /cgi-bin/.%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd HTTP/1.1" 403 496 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.111 Safari/537.36"
103.150.214.153 - - [06/Oct/2021:11:39:37 +0700] "GET /cgi-bin/.%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd HTTP/1.1" 301 643 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.111 Safari/537.36"
103.150.214.153 - - [06/Oct/2021:11:39:37 +0700] "GET /cgi-bin/.%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd HTTP/1.1" 403 496 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.111 Safari/537.36"
103.150.215.200 - - [06/Oct/2021:11:39:56 +0700] "GET /cgi-bin/.%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd HTTP/1.1" 403 3694 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.111 Safari/537.36"
103.150.214.153 - - [07/Oct/2021:05:29:06 +0700] "GET /cgi-bin/.%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd HTTP/1.1" 403 496 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.111 Safari/537.36"
103.150.214.153 - - [07/Oct/2021:05:29:07 +0700] "GET /cgi-bin/.%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd HTTP/1.1" 301 643 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.111 Safari/537.36"
103.150.214.153 - - [07/Oct/2021:05:29:07 +0700] "GET /cgi-bin/.%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd HTTP/1.1" 403 496 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.111 Safari/537.36"
103.150.214.153 - - [07/Oct/2021:05:32:34 +0700] "GET /cgi-bin/.%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd HTTP/1.1" 403 3694 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.111 Safari/537.36"

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #118, #119

118. Сообщение от markus (?), 07-Окт-21, 08:15   –2 +/
то-есть выход из ситуации, можно просто заблокировать содержимое url /cgi-bin/ ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #117 Ответы: #120, #122

119. Сообщение от Онаним (?), 07-Окт-21, 08:16   +1 +/
Ну, киддям скрипты на гвидобейсике заботливо разложили, играются.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #117

120. Сообщение от Аноним (26), 07-Окт-21, 09:58   +/
Можно спецсимволами и путями возврата обойти ваши совковые WAF.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #118

121. Сообщение от Аноним (121), 07-Окт-21, 10:01   –2 +/
Расскажи это Google, Facebook и им подобным. Пусть их смех от твоих слов разорвёт)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #109

122. Сообщение от Аноним (110), 07-Окт-21, 10:03   +/
Ага и вставать с колен такими методами борьбы. Хотя корейские хакеры вас нагнут.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #118

123. Сообщение от InuYasha (??), 07-Окт-21, 10:09   –2 +/
СБУ
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #116

124. Сообщение от InuYasha (??), 07-Окт-21, 10:11   –1 +/
плюсану. Мне вообще понравилась идея выносить устройства с данными на /srv и туда линковать всё что надо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #114

125. Сообщение от СеменСеменыч777 (?), 07-Окт-21, 11:47   +/
> Ты так говоришь как будто виндовая говносистема чем-то лучше.

разумеется лучше ! наследование, блокировка наследования, блокировка блокировки наследования, группы внутри групп внутри групп - есть где развернуться. рай для ит-зардота.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #97

126. Сообщение от пох. (?), 07-Окт-21, 12:29   +/
А, блжад, вероятно ты прав. Там явный канал в астральную преисподнюю в этих плагинах, поэтому если через них читать - можно ознакомиться с новостями из параллельной вселенной. Ну а поскольку канал через преисподнюю - изложение специфическое.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #83

127. Сообщение от Аноним (11), 07-Окт-21, 20:49   +/
Лалка. В портах ужо 2.4.51 положили.
Папач точно еще на раст не переписали?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #131

128. Сообщение от Michael Shigorinemail (ok), 07-Окт-21, 22:59   +1 +/
>> HTTP
> Чтобы получить вместо файла что угодно подменённое? Не, спасибо. FTP сдох

Барышня, Вы хоть педали не путаете?

Что с уровнями протоколов в голове каша, наиболее удобная как раз профессионалам подмены понятий -- видно даже по этой фразе.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #67

129. Сообщение от Michael Shigorinemail (ok), 07-Окт-21, 23:00   +/
Здрасьте, это была история появления apache2 как такового вкратце, что ли?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #65

130. Сообщение от Michael Shigorinemail (ok), 07-Окт-21, 23:03   +/
ASF же!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54

131. Сообщение от Аноним (131), 08-Окт-21, 00:02   +/
в .50 не дочинили...


critical: Path Traversal and Remote Code Execution in Apache HTTP Server 2.4.49 and 2.4.50 (incomplete fix of CVE-2021-41773) (CVE-2021-42013).

It was found that the fix for CVE-2021-41773 in Apache HTTP Server 2.4.50 was insufficient. An attacker could use a path traversal attack to map URLs to files outside the directories configured by Alias-like directives.

If files outside of these directories are not protected by the usual default configuration "require all denied", these requests can succeed. If CGI scripts are also enabled for these aliased pathes, this could allow for remote code execution.

This issue only affects Apache 2.4.49 and Apache 2.4.50 and not earlier versions.

Acknowledgements: Reported by Juan Escobar from Dreamlab Technologies, Fernando Munoz from NULL Life CTF Team, and Shungo Kumasaka

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #127

132. Сообщение от Аноним (132), 09-Окт-21, 14:20   +/
В системах, где https терминируется на отдельном фронте, апачом статику никто и не раздаёт. :-)

Но в nginx/lighty там будет либо sendfile, либо aio (для крупных файлов). Только не стоит думать, что вызвал один раз sendfile и весь файл улетел, это далеко не так. Но все равно намного эффективнее, чем файл читать, конечно.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #111

133. Сообщение от Аноньимъ (ok), 11-Окт-21, 01:20   +/
FTP может работать поверх защищенного соединения, кроме того, никто не отменял цифровой подписи.

Есть альтернативы FTP, для передачи !файлов!. HTTP не одна из них.

Мой комментарий был немного шуткой, в свете глобального уничтожения "устаревших" технологий.
Но только немного.

HTTP предназначен для передачи html !документов!, и больше ничего на самом деле, и только в этой роли можно сказать что он неплох.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #67

134. Сообщение от Enamel (ok), 15-Окт-21, 05:31   +/
> Серьёзно? Ты серьёзно не представляешь как можно передать файл кроме как http?

Речь о том, как это сделать с минимальными усилиями на любом устройстве с любой ОС, где есть только браузер, ничего не устанавливая.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #101

135. Сообщение от Анонимemail (135), 02-Мрт-22, 22:29   +/
Shell
Ответить | Правка | Наверх | Cообщить модератору


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру