Ua paʻi ʻia ka hoʻokuʻu ʻana o ka Apache HTTP server 2.4.56, e hoʻolauna ana i nā hoʻololi 6 a hoʻopau i nā nāwaliwali 2 e pili ana i ka hiki ke hoʻokō i nā hoʻouka kaua "HTTP Request Smuggling" i nā ʻōnaehana mua-hope-back-end, e ʻae iā mākou e wili iā mākou iho. i loko o nā mea o nā noi mea hoʻohana ʻē aʻe i hana ʻia ma ka pae like ma waena o ka frontend a me ka hope. Hiki ke hoʻohana ʻia ka hoʻouka ʻana e kāʻalo i nā ʻōnaehana kaohi ʻana a i ʻole e hoʻokomo i ka code JavaScript maikaʻi ʻole i loko o kahi hālāwai me kahi pūnaewele kūpono.
ʻO ka nāwaliwali mua (CVE-2023-27522) pili i ka mod_proxy_uwsgi module a hiki i ka pane ke hoʻokaʻawale ʻia i ʻelua mau ʻāpana ma ka ʻaoʻao koho ma o ka hoʻololi ʻana i nā huaʻōlelo kūikawā ma ke poʻo HTTP i hoʻihoʻi ʻia e ka hope.
Aia ka lua o ka vulnerability (CVE-2023-25690) i mod_proxy a hiki i ka wā e hoʻohana ai i kekahi mau lula no ka kākau hou ʻana me ka hoʻohana ʻana i ke kuhikuhi RewriteRule i hāʻawi ʻia e ka mod_rewrite module, a i ʻole kekahi mau hiʻohiʻona i ke kuhikuhi ProxyPassMatch. Hiki i ka nāwaliwali ke alakaʻi i kahi noi ma o kahi koho no nā kumuwaiwai kūloko, hiki ke komo i kahi mea i pāpā ʻia ma o ka mea koho, a i ʻole ka make ʻana i nā mea huna. No ka hōʻike ʻana i ka nāwaliwali, pono ia e hoʻohana i nā lula e kākau hou i ka ʻikepili mai ka URL, a laila hoʻololi ʻia i ka noi i hoʻouna hou ʻia. No ka laʻana: RewriteEngine ma RewriteRule “^/here/(.*)” » http://example.com:8080/elsewhere?$1″ http://example.com:8080/elsewhere ; [P] ProxyPassReverse /anei/ http://example.com:8080/ http://example.com:8080/
ʻO nā hoʻololi palekana ʻole he:
- Ua hoʻohui ʻia ka hae "-T" i ka pono rotatelogs, i hiki ai, i ka wā e hoʻololi ai i nā lāʻau, e ʻoki i nā faila log ma hope me ka ʻole o ka ʻoki ʻana i ka faila log mua.
- ʻAe ʻo mod_ldap i nā waiwai maikaʻi ʻole ma ke kuhikuhi LDAPConnectionPoolTTL e hoʻonohonoho i ka hoʻohana hou ʻana i nā pilina kahiko.
- ʻO ka mod_md module, i hoʻohana ʻia e hoʻomaʻamaʻa i ka loaʻa ʻana a me ka mālama ʻana i nā palapala hōʻoia me ka hoʻohana ʻana i ka protocol ACME (Automatic Certificate Management Environment), i ka wā i hui pū ʻia me ka libressl 3.5.0+, e komo pū me ke kākoʻo no ka ED25519 digital signature scheme a me ka helu ʻana no ka ʻike palapala hōʻoia lehulehu (CT). , Palapala Hōʻoiaʻiʻo). Hiki i ka MDChallengeDns01 ke kuhikuhi i ka wehewehe ʻana i nā hoʻonohonoho no nā kāʻei kapu.
- Ua hoʻopaʻa ʻo mod_proxy_uwsgi i ka nānā ʻana a me ka hoʻopaʻa ʻana i nā pane mai HTTP backends.
Source: opennet.ru