Tá scaoileadh an fhreastalaí Apache HTTP 2.4.56 foilsithe, a thugann 6 athrú isteach agus a chuireann deireadh le 2 leochaileacht a bhaineann leis an bhféidearthacht ionsaithe “Smuigleáil Iarratas HTTP” a dhéanamh ar chórais tosaigh-deireadh-cúl, rud a ligeann duit dul isteach sa chóras. inneachar iarrataí úsáideoirí eile arna bpróiseáil sa snáithe céanna idir an t-éadan agus an t-inneall. Is féidir an t-ionsaí a úsáid chun córais srianta rochtana a sheachbhóthar nó cód JavaScript mailíseach a chur isteach i seisiún le suíomh Gréasáin dlisteanach.
Bíonn tionchar ag an gcéad leochaileacht (CVE-2023-27522) ar an modúl mod_proxy_uwsgi agus ceadaíonn sé an freagra a roinnt ina dhá chuid ar an taobh seachfhreastalaí trí charachtair speisialta a chur in ionad an cheannteidil HTTP ar ais ag an inneall.
Tá an dara leochaileacht (CVE-2023-25690) i láthair i mod_proxy agus tarlaíonn sé nuair a úsáidtear rialacha athscríobh iarratais áirithe ag baint úsáide as an treoir RewriteRule a sholáthraíonn an modúl mod_rewrite nó patrúin áirithe sa treoir ProxyPassMatch. D’fhéadfadh go n-iarrfaí trí sheachvótálaí ar acmhainní inmheánacha nach gceadaítear rochtain a fháil orthu trí sheachvótálaí, nó go ndéanfaí ábhar taisce a nimhiú mar thoradh ar an leochaileacht. Chun an leochaileacht a léiriú, tá sé riachtanach go n-úsáidfidh na rialacha um athscríobh an iarratais sonraí ón URL, a chuirtear ina ionad ansin san iarratas a sheoltar tuilleadh. Mar shampla: RewriteEngine on RewriteRule “^/here/(.*)” » http://example.com:8080/elsewhere?$1″ http://example.com:8080/elsewhere ; [P] ProxyPassReverse /anseo/ http://example.com:8080/ http://example.com:8080/
I measc na n-athruithe neamhshlándála:
- Tá an bhratach “-T” curtha leis an bhfóntas rotatelogs, a cheadaíonn, agus logaí á rothlú, comhaid loga ina dhiaidh sin a theorannú gan an logáil isteach tosaigh a theorannú.
- ceadaíonn mod_ldap luachanna diúltacha sa treoir LDAPConnectionPoolTTL chun athúsáid aon sean-naisc a chumrú.
- Áiríonn an modúl mod_md, a úsáidtear chun fáil agus cothabháil deimhnithe a uathoibriú trí úsáid a bhaint as prótacal ACME (Timpeallacht Bainistíochta Teastais Uathoibríoch), nuair a chuirtear le chéile é le libressl 3.5.0+, tacaíocht do scéim sínithe digiteach ED25519 agus cuntas a thabhairt ar fhaisnéis logála deimhnithe poiblí (CT , Trédhearcacht Teastais). Ceadaíonn an treoir MDChallengeDns01 sainmhíniú ar shocruithe le haghaidh fearainn aonair.
- Tá seiceáil agus parsáil na bhfreagraí ó innill HTTP níos doichte ag mod_proxy_uwsgi.
Foinse: oscailtenet.ru
