https://opennet.ru/openforum/vsluhforumID3/125449.html В экстренном порядке сформировано обновление http-сервера Apache 2.4.50, в котором устранена уже активно эксплуатируемая 0-day уязвимость (CVE-2021-41773), позволяющая получить доступ к файлам из областей вне корневого каталога сайта. При помощи уязвимости можно загрузить произвольные системные файлы и исходные тексты web-скриптов, доступные для чтения пользователю, под которым запущен http-сервер...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=55924<br> https://opennet.ru/openforum/vsluhforumID3/125449.html#135 Wed, 02 Mar 2022 19:29:23 GMT Shell<br> https://opennet.ru/openforum/vsluhforumID3/125449.html#134 Fri, 15 Oct 2021 02:31:57 GMT &gt; Серьёзно? Ты серьёзно не представляешь как можно передать файл кроме как http? <br><br>Речь о том, как это сделать с минимальными усилиями на любом устройстве с любой ОС, где есть только браузер, ничего не устанавливая.<br> https://opennet.ru/openforum/vsluhforumID3/125449.html#133 Sun, 10 Oct 2021 22:20:33 GMT FTP может работать поверх защищенного соединения, кроме того, никто не отменял цифровой подписи.<br><br>Есть альтернативы FTP, для передачи !файлов!. HTTP не одна из них.<br><br>Мой комментарий был немного шуткой, в свете глобального уничтожения "устаревших" технологий.<br>Но только немного.<br><br>HTTP предназначен для передачи html !документов!, и больше ничего на самом деле, и только в этой роли можно сказать что он неплох.<br> https://opennet.ru/openforum/vsluhforumID3/125449.html#132 Sat, 09 Oct 2021 11:20:16 GMT В системах, где https терминируется на отдельном фронте, апачом статику никто и не раздаёт. :-)<br><br>Но в nginx/lighty там будет либо sendfile, либо aio (для крупных файлов). Только не стоит думать, что вызвал один раз sendfile и весь файл улетел, это далеко не так. Но все равно намного эффективнее, чем файл читать, конечно.<br> https://opennet.ru/openforum/vsluhforumID3/125449.html#131 Thu, 07 Oct 2021 21:02:48 GMT в .50 не дочинили...<br><br><br>critical: Path Traversal and Remote Code Execution in Apache HTTP Server 2.4.49 and 2.4.50 (incomplete fix of CVE-2021-41773) (CVE-2021-42013).<br><br>It was found that the fix for CVE-2021-41773 in Apache HTTP Server 2.4.50 was insufficient. An attacker could use a path traversal attack to map URLs to files outside the directories configured by Alias-like directives.<br><br>If files outside of these directories are not protected by the usual default configuration "require all denied", these requests can succeed. If CGI scripts are also enabled for these aliased pathes, this could allow for remote code execution.<br><br>This issue only affects Apache 2.4.49 and Apache 2.4.50 and not earlier versions.<br><br>Acknowledgements: Reported by Juan Escobar from Dreamlab Technologies, Fernando Munoz from NULL Life CTF Team, and Shungo Kumasaka<br> https://opennet.ru/openforum/vsluhforumID3/125449.html#130 Thu, 07 Oct 2021 20:03:00 GMT ASF же!<br> https://opennet.ru/openforum/vsluhforumID3/125449.html#129 Thu, 07 Oct 2021 20:00:39 GMT Здрасьте, это была история появления apache2 как такового вкратце, что ли?<br> https://opennet.ru/openforum/vsluhforumID3/125449.html#128 Thu, 07 Oct 2021 19:59:41 GMT &gt;&gt; HTTP<br>&gt; Чтобы получить вместо файла что угодно подменённое? Не, спасибо. FTP сдох<br><br>Барышня, Вы хоть педали не путаете?<br><br>Что с уровнями протоколов в голове каша, наиболее удобная как раз профессионалам подмены понятий -- видно даже по этой фразе.<br> https://opennet.ru/openforum/vsluhforumID3/125449.html#127 Thu, 07 Oct 2021 17:49:52 GMT Лалка. В портах ужо 2.4.51 положили.<br>Папач точно еще на раст не переписали?<br>