Apache HTTP zerbitzariaren 2.4.56 bertsioa argitaratu da, eta horrek 6 aldaketa sartzen ditu eta 2 ahultasun ezabatzen ditu front-end-back-end sistemetan "HTTP Request Smuggling" erasoak egiteko aukerarekin, frontend eta backend arteko hari berean prozesatutako beste erabiltzaileen eskaeren edukia. Erasoa sarbide murrizketa sistemak saihesteko edo JavaScript kode gaiztoa txertatzeko webgune legitimo bat duen saio batean erabil daiteke.
Lehen ahultasunak (CVE-2023-27522) mod_proxy_uwsgi moduluari eragiten dio eta erantzuna proxy aldean bi zatitan banatzea ahalbidetzen du, backend-ak itzultzen duen HTTP goiburuko karaktere bereziak ordezkatuz.
Bigarren ahultasuna (CVE-2023-25690) mod_proxy-n dago eta eskaera berridazketa-arau batzuk erabiltzean gertatzen da mod_rewrite moduluak emandako RewriteRule direktiba erabiliz edo ProxyPassMatch zuzentarauko zenbait eredu. Zaurgarritasunak proxy baten bidez atzitu ezin diren barne baliabideetarako eskaera bat ekar lezake, edo cacheko edukia pozoitzea. Ahultasuna ager dadin, beharrezkoa da eskaeraren berridazketa-arauek URLko datuak erabiltzea, eta gero bidaltzen den eskaeran ordezkatuko dira. Adibidez: RewriteEngine RewriteRule-n β^/here/(.*)β Β» http://example.com:8080/elsewhere?$1β³ http://example.com:8080/elsewhere ; [P] ProxyPassReverse /hemen/ http://example.com:8080/ http://example.com:8080/
Segurtasuna ez diren aldaketen artean:
- "-T" marka gehitu da rotatelogs utilitateari, eta horri esker, erregistroak biratzean, ondorengo erregistro-fitxategiak moztu daitezke hasierako erregistro-fitxategia moztu gabe.
- mod_ldap-ek LDAPConnectionPoolTTL zuzentarauan balio negatiboak onartzen ditu konexio zaharren berrerabilpena konfiguratzeko.
- Mod_md moduluak, ACME (Automatic Certificate Management Environment) protokoloa erabiliz ziurtagirien jasotzea eta mantentze-lanak automatizatzeko erabiltzen dena, libressl 3.5.0+-rekin konpilatzen denean, ED25519 sinadura digitalaren eskemaren laguntza eta ziurtagiri publikoen erregistroko informazioa (CT) kontabilizatzen du. , Ziurtagiriaren gardentasuna). MDChallengeDns01 zuzentarauak banakako domeinuen ezarpenak definitzeko aukera ematen du.
- mod_proxy_uwsgi-k HTTP backendetako erantzunen egiaztapena eta analisia zorroztu ditu.
Iturria: opennet.ru