Chaidh foillseachadh frithealaiche Apache 2.4.56 HTTP fhoillseachadh, a bheir a-steach 6 atharrachaidhean agus a shocraicheas so-leòntachd 2 co-cheangailte ris a’ chomas air ionnsaighean cùl-mhùtaireachd Iarrtas HTTP a dhèanamh air siostaman aghaidh-cùl-taic a leigeas leinn a dhol a-steach do shusbaint iarrtasan bho luchd-cleachdaidh eile air a phròiseasadh san aon snàithlean eadar aghaidh agus backend. Faodar an ionnsaigh a chleachdadh gus faighinn seachad air siostaman smachd ruigsinneachd no cuir a-steach còd JavaScript droch-rùnach a-steach do sheisean le làrach dligheach.
Tha a’ chiad so-leòntachd (CVE-2023-27522) a’ toirt buaidh air a’ mhodal mod_proxy_uwsgi agus a’ leigeil leis an neach-ionaid am freagairt a roinn ann an dà phàirt le bhith a’ cur a-steach caractaran sònraichte anns a’ bhann-cinn HTTP air a thilleadh leis an backend.
Tha an dàrna so-leòntachd (CVE-2023-25690) an làthair ann am mod_proxy agus bidh e ga nochdadh fhèin nuair a thèid cuid de riaghailtean ath-sgrìobhaidh iarrtasan a chleachdadh a’ cleachdadh an stiùireadh RewriteRule a thug am modal mod_rewrite seachad, no pàtrain sònraichte anns an stiùireadh ProxyPassMatch. Dh’ fhaodadh an so-leòntachd leantainn gu neach-ionaid ag iarraidh goireasan a-staigh nach eil ruigsinneach tron neach-ionaid, no a’ puinnseanachadh susbaint an tasgadan. Gus an so-leòntachd a nochdadh, feumar an dàta bhon URL a chleachdadh anns na riaghailtean ath-sgrìobhadh iarrtas, a thèid an uairsin a chuir a-steach don iarrtas a chaidh a chuir nas fhaide. Mar eisimpleir: RewriteEngine on RewriteRule "^/here/(.*)" » http://example.com:8080/elsewhere?$1″ http://example.com:8080/elsewhere ; [P] ProxyPassReverse /here/ http://example.com:8080/ http://example.com:8080/
Am measg atharrachaidhean neo-thèarainteachd tha:
- Chaidh a’ bhratach “-T” a chur ris a’ ghoireas rotatelogs, a leigeas, nuair a thionndaidheas tu logaichean, na faidhlichean log às deidh sin a ghearradh gun a bhith a’ gearradh a’ chiad fhaidhle loga.
- mod_ldap a’ ceadachadh luachan àicheil ann an stiùireadh LDAPConnectionPoolTTL gus ath-chleachdadh seann cheanglaichean sam bith a rèiteachadh.
- Anns a ’mhodal mod_md, air a chleachdadh gus faighinn agus cumail suas theisteanasan gu fèin-ghluasadach a’ cleachdadh protocol ACME (Àrainneachd Riaghladh Teisteanas fèin-ghluasadach), nuair a thèid a thogail le libressl 3.5.0+, taic don sgeama ainm-sgrìobhte didseatach ED25519 agus cunntas a thoirt air fiosrachadh anns an loga poblach de tha teisteanasan (CT, follaiseachd teisteanais) air an toirt a-steach. Tha an stiùireadh MDChallengeDns01 a’ ceadachadh roghainnean a mhìneachadh airson raointean fa-leth.
- rinn mod_proxy_uwsgi teannachadh air sgrùdadh agus parsadh freagairtean bho backends HTTP.
Source: fosgailtenet.ru