Суть уязвимости

Уязвимость в функции findMacroMarker парсера parserLib.pas позволяет удаленному злоумышленнику выполнить произвольные команды на сервере, передав специально сформированный запрос. Атака не требует аутентификации.

Как исправить

Основное решение — обновление HFS до версии 2.3c или выше.

1. Скачайте и установите последнюю версию HFS (2.3c или новее) с официального сайта: http://www.rejetto.com/hfs/.
2. Остановите текущий процесс HFS.
3. Запустите новую версию, предварительно проверив актуальность конфигурационных файлов.

Для Linux (если используется Wine):

# Остановите текущий процесс HFS (пример для поиска PID)
pkill -f hfs.exe

# Скачайте и распакуйте новую версию в нужную директорию
wget http://www.rejetto.com/hfs/hfs2.3c.zip -O /tmp/hfs.zip
unzip /tmp/hfs.zip -d /opt/hfs_new/

# Замените старые файлы (кроме ваших конфигов, например, hfs.ini)
cp /opt/hfs_new/hfs.exe /opt/hfs/
# Запустите новую версию
wine /opt/hfs/hfs.exe

Временное решение

Если немедленное обновление невозможно, примите следующие меры:

1. Ограничьте доступ по сети:

   • Настройте брандмауэр (например, iptables или Windows Firewall) так, чтобы доступ к порту HFS (обычно 80/8080) был только с доверенных IP-адресов. ```bash

   Пример iptables для разрешения только с сети 192.168.1.0/24

   iptables -A INPUT -p tcp --dport 80 -s 192.168.1.0/24 -j ACCEPT iptables -A INPUT -p tcp --dport 80 -j DROP ```

2. Используйте обратный прокси (например, nginx) с WAF:

   • Разместите HFS за веб-сервером с модулем WAF (например, ModSecurity) и настройте правила для фильтрации запросов, содержащих {exec или { в URL или теле запроса.

3. Остановите службу HFS до момента установки патча, если это допустимо.