Apache HTTP серверінің 2.4.56 шығарылымы жарияланды, ол 6 өзгерісті енгізеді және фронт-back-end жүйелерінде «HTTP сұранысының контрабандасы» шабуылдарын жүзеге асыру мүмкіндігімен байланысты 2 осалдықты жояды, бұл жүйеге кіруге мүмкіндік береді. басқа пайдаланушылардың сұрауларының мазмұны фронт пен сервер арасындағы бірдей ағында өңделеді. Шабуыл кіруді шектеу жүйелерін айналып өту немесе зиянды JavaScript кодын заңды веб-сайтпен сеансқа енгізу үшін пайдаланылуы мүмкін.
Бірінші осалдық (CVE-2023-27522) mod_proxy_uwsgi модуліне әсер етеді және сервер қайтарған HTTP тақырыбындағы арнайы таңбаларды ауыстыру арқылы жауапты прокси жағында екі бөлікке бөлуге мүмкіндік береді.
Екінші осалдық (CVE-2023-25690) mod_proxy ішінде бар және mod_rewrite модулі немесе ProxyPassMatch директивасында белгілі үлгілер қамтамасыз ететін RewriteRule директивасын пайдаланып белгілі бір сұрауды қайта жазу ережелерін пайдаланған кезде орын алады. Осалдық прокси арқылы кіруге рұқсат етілмеген ішкі ресурстарға арналған прокси арқылы сұрауға немесе кэш мазмұнының улануына әкелуі мүмкін. Осалдықтың көрінуі үшін сұрауды қайта жазу ережелері URL мекенжайындағы деректерді пайдалануы қажет, содан кейін олар әрі қарай жіберілетін сұрауға ауыстырылады. Мысалы: RewriteRule жүйесіндегі RewriteEngine “^/here/(.*)” » http://example.com:8080/elsewhere?$1″ http://example.com:8080/elsewhere ; [P] ProxyPassReverse /мұнда/ http://example.com:8080/ http://example.com:8080/
Қауіпсіздікке жатпайтын өзгерістердің ішінде:
- «-T» жалаушасы rotatelogs утилитасына қосылды, ол журналдарды айналдырған кезде бастапқы журнал файлын қысқартпай кейінгі журнал файлдарын қысқартуға мүмкіндік береді.
- mod_ldap кез келген ескі қосылымдарды қайта пайдалануды конфигурациялау үшін LDAPConnectionPoolTTL директивасында теріс мәндерге мүмкіндік береді.
- libressl 3.5.0+ нұсқасымен құрастырылған кезде ACME (Automatic Certificate Management Environment) протоколы арқылы сертификаттарды алуды және техникалық қызмет көрсетуді автоматтандыру үшін пайдаланылатын mod_md модулі ED25519 цифрлық қолтаңба схемасын қолдауды және жалпы сертификат журналының ақпаратын есепке алуды қамтиды (CT) , Сертификаттың ашықтығы). MDChallengeDns01 директивасы жеке домендерге арналған параметрлерді анықтауға мүмкіндік береді.
- mod_proxy_uwsgi HTTP серверлерінен жауаптарды тексеруді және талдауды күшейтті.
Ақпарат көзі: opennet.ru