Apache HTTP サーバー 2.4.56 のリリースが公開されました。これにより、6 つの変更が導入され、フロントエンド/バックエンド システム上で「HTTP リクエスト密輸」攻撃を実行する可能性に関連する 2 つの脆弱性が解消され、フロントエンドとバックエンドの間の同じスレッドで処理される他のユーザーのリクエストの内容。 この攻撃は、アクセス制限システムをバイパスしたり、正規の Web サイトとのセッションに悪意のある JavaScript コードを挿入したりするために使用される可能性があります。
2023 つ目の脆弱性 (CVE-27522-XNUMX) は mod_proxy_uwsgi モジュールに影響し、バックエンドから返される HTTP ヘッダー内の特殊文字の置換により、プロキシ側で応答が XNUMX つの部分に分割される可能性があります。
2023 番目の脆弱性 (CVE-25690-8080) は mod_proxy に存在し、mod_rewrite モジュールによって提供される RewriteRule ディレクティブまたは ProxyPassMatch ディレクティブの特定のパターンを使用した特定のリクエスト書き換えルールを使用するときに発生します。 この脆弱性により、プロキシ経由でのアクセスが許可されていない内部リソースに対するプロキシ経由のリクエスト、またはキャッシュ コンテンツの汚染が引き起こされる可能性があります。 この脆弱性が顕在化するには、リクエスト書き換えルールで URL のデータが使用され、その後送信されるリクエストにそのデータが置き換えられる必要があります。 例: RewriteRule “^/here/(.*)” の RewriteEngine » http://example.com:1/elsewhere?$8080″ http://example.com:8080/elsewhere ; [P] ProxyPassReverse /ここ/ http://example.com:8080/ http://example.com:XNUMX/
セキュリティ以外の変更には次のようなものがあります。
- 「-T」フラグがrotatelogsユーティリティに追加されました。これにより、ログをローテーションするときに、最初のログ ファイルを切り詰めることなく、後続のログ ファイルを切り詰めることができます。
- mod_ldap では、古い接続の再利用を構成するために LDAPConnectionPoolTTL ディレクティブに負の値を使用できます。
- mod_md モジュールは、ACME (自動証明書管理環境) プロトコルを使用して証明書の受信と保守を自動化するために使用され、libressl 3.5.0 以降でコンパイルすると、ED25519 デジタル署名スキームとパブリック証明書ログ情報 (CT のアカウンティング) のサポートが含まれます。 、証明書の透明性)。 MDChallengeDns01 ディレクティブを使用すると、個々のドメインの設定を定義できます。
- mod_proxy_uwsgi は、HTTP バックエンドからの応答のチェックと解析を強化しました。
出所: オープンネット.ru