የ Apache HTTP አገልጋይ 2.4.56 ታትሟል፣ ይህም 6 ለውጦችን የሚያስተዋውቅ እና "የኤችቲቲፒ ጥያቄ ማጭበርበር" ጥቃቶችን በፊት-መጨረሻ-የኋላ-መጨረሻ ስርዓቶች ላይ የማካሄድ እድል ጋር የተዛመዱ 2 ተጋላጭነቶችን ያስወግዳል ፣ ወደ ውስጥ ለመግባት ያስችላል። የሌሎች ተጠቃሚዎች ጥያቄዎች ይዘቶች ከፊት እና ከኋላ መካከል በተመሳሳዩ ክር ይከናወናሉ ። ጥቃቱ የመዳረሻ ገደብ ስርዓቶችን ለማለፍ ወይም ተንኮል አዘል የጃቫ ስክሪፕት ኮድ ከህጋዊ ድር ጣቢያ ጋር ወደ ክፍለ ጊዜ ለማስገባት ሊያገለግል ይችላል።
የመጀመሪያው ተጋላጭነት (CVE-2023-27522) በ mod_proxy_uwsgi ሞጁል ላይ ተጽዕኖ ያሳድራል እና በኋለኛው በተመለሰው የኤችቲቲፒ ራስጌ ውስጥ ልዩ ቁምፊዎችን በመተካት ምላሹን በተኪ በኩል በሁለት ክፍሎች እንዲከፍል ያስችለዋል።
ሁለተኛው ተጋላጭነት (CVE-2023-25690) በ mod_proxy ውስጥ አለ እና በMod_rewrite ሞጁል የቀረበውን RewriteRule መመሪያን ወይም የተወሰኑ ቅጦችን በProxyPassMatch መመሪያ በመጠቀም የተወሰኑ የጥያቄ እንደገና መፃፍ ህጎችን ሲጠቀሙ ነው። ተጋላጭነቱ በፕሮክሲ በኩል እንዲደረስ የማይፈቀድላቸው የውስጥ ሃብቶች በፕሮክሲ በኩል ጥያቄን ወይም የመሸጎጫ ይዘቶችን ወደ መርዝ ሊያመራ ይችላል። ለአደጋ ተጋላጭነት፣ ጥያቄው እንደገና መፃፍ ደንቦችን ከዩአርኤል የተገኘውን መረጃ መጠቀም አስፈላጊ ነው፣ ከዚያ በኋላ በተላከው ጥያቄ ውስጥ ይተካል። ለምሳሌ፡ RewriteEngine on RewriteRule "^/here/(.*)" http://example.com:8080/elsewhere?$1″ http://example.com:8080/elsewhere; [P] ProxyPassReverse /here/ http://example.com:8080/ http://example.com:8080/
የደህንነት ያልሆኑ ለውጦች የሚከተሉትን ያካትታሉ:
- የ "-T" ባንዲራ ወደ rotatelogs መገልገያ ተጨምሯል, ይህም ምዝግብ ማስታወሻዎችን በሚሽከረከርበት ጊዜ, የመጀመሪያውን የምዝግብ ማስታወሻ መዝገብ ሳይቆርጥ ተከታይ የሎግ ፋይሎችን ለመቁረጥ ያስችላል.
- mod_ldap በLDAPConnectionPoolTTL መመሪያ ውስጥ ማንኛውንም የቆዩ ግንኙነቶች እንደገና ጥቅም ላይ ማዋልን ለማዋቀር አሉታዊ እሴቶችን ይፈቅዳል።
- የኤሲኤምኢ (አውቶማቲክ ሰርተፍኬት አስተዳደር አካባቢ) ፕሮቶኮልን በመጠቀም የምስክር ወረቀቶችን መቀበል እና ማቆየት የ mod_md ሞጁል ከlibressl 3.5.0+ ጋር ሲጠናቀር ለ ED25519 ዲጂታል ፊርማ እቅድ ድጋፍ እና የህዝብ የምስክር ወረቀት ምዝግብ ማስታወሻ መረጃን (ሲቲቲ) ያካትታል። የምስክር ወረቀት ግልጽነት). የMDChallengeDns01 መመሪያ ለግል ጎራዎች የቅንጅቶችን ፍቺ ይፈቅዳል።
- mod_proxy_uwsgi ከኤችቲቲፒ ከኋላ ያሉ ምላሾችን መፈተሽ እና መተንተን አጥብቆታል።
ምንጭ: opennet.ru