ProHoster > Π‘Π»ΠΎΠ³ > warta internet > Apache 2.4.56 http server release karo vulnerabilities tetep

Apache 2.4.56 http server release karo vulnerabilities tetep

Rilis server Apache HTTP 2.4.56 wis diterbitake, sing ngenalake 6 owah-owahan lan ngilangi 2 kerentanan sing ana gandhengane karo kemungkinan nindakake serangan "HTTP Request Smuggling" ing sistem ngarep-mburi-mburi. isi panjalukan pangguna liyane sing diproses ing thread sing padha antarane frontend lan backend. Serangan kasebut bisa digunakake kanggo ngliwati sistem watesan akses utawa nglebokake kode JavaScript sing ala menyang sesi karo situs web sing sah.

Kerentanan pisanan (CVE-2023-27522) mengaruhi modul mod_proxy_uwsgi lan ngidini respon dipΓ©rang dadi rong bagΓ©an ing sisih proxy liwat substitusi karakter khusus ing header HTTP bali dening backend.

Kerentanan kapindho (CVE-2023-25690) ana ing mod_proxy lan kedadeyan nalika nggunakake aturan nulis ulang panjalukan tartamtu nggunakake arahan RewriteRule sing diwenehake dening modul mod_rewrite utawa pola tartamtu ing arahan ProxyPassMatch. Kerentanan bisa nyebabake panyuwunan liwat proxy kanggo sumber daya internal sing ora diijini diakses liwat proxy, utawa keracunan isi cache. Supaya kerentanan bisa diwujudake, perlu aturan nulis ulang panyuwunan nggunakake data saka URL, sing banjur diganti dadi panyuwunan sing dikirim luwih lanjut. Contone: RewriteEngine on RewriteRule β€œ^/here/(.*)” Β» http://example.com:8080/elsewhere?$1β€³ http://example.com:8080/elsewhere; [P] ProxyPassReverse / kene / http://example.com:8080/ http://example.com:8080/

Antarane owah-owahan non-keamanan:

  • GendΓ©ra "-T" wis ditambahake menyang utilitas rotatelogs, sing ngidini, nalika muter log, bisa ngethok file log sakteruse tanpa ngethok file log dhisikan.
  • mod_ldap ngidini nilai negatif ing arahan LDAPConnectionPoolTTL kanggo ngatur panggunaan maneh sambungan lawas.
  • Modul mod_md, digunakake kanggo ngotomatisasi panrimo lan pangopΓ¨nan sertifikat nggunakake protokol ACME (Automatic Certificate Management Environment), nalika dikompilasi karo libressl 3.5.0+, kalebu dhukungan kanggo skema tandha digital ED25519 lan akuntansi kanggo informasi log sertifikat umum (CT). , Transparansi Sertifikat). Arahan MDChallengeDns01 ngidini definisi setelan kanggo domain individu.
  • mod_proxy_uwsgi wis ngencengi pamriksa lan parsing tanggapan saka backend HTTP.

Source: opennet.ru

Add a comment