Apache HTTP ಸರ್ವರ್ 2.4.56 ಬಿಡುಗಡೆಯನ್ನು ಪ್ರಕಟಿಸಲಾಗಿದೆ, ಇದು 6 ಬದಲಾವಣೆಗಳನ್ನು ಪರಿಚಯಿಸುತ್ತದೆ ಮತ್ತು ಫ್ರಂಟ್-ಎಂಡ್-ಬ್ಯಾಕ್-ಎಂಡ್ ಸಿಸ್ಟಮ್ಗಳ ಮೇಲೆ "HTTP ವಿನಂತಿ ಸ್ಮಗ್ಲಿಂಗ್" ದಾಳಿಯನ್ನು ನಡೆಸುವ ಸಾಧ್ಯತೆಯೊಂದಿಗೆ ಸಂಬಂಧಿಸಿದ 2 ದುರ್ಬಲತೆಗಳನ್ನು ನಿವಾರಿಸುತ್ತದೆ, ಇದು ಬೆಣೆಗೆ ಹಾಕಲು ಅನುವು ಮಾಡಿಕೊಡುತ್ತದೆ. ಇತರ ಬಳಕೆದಾರರ ವಿನಂತಿಗಳ ವಿಷಯಗಳನ್ನು ಮುಂಭಾಗ ಮತ್ತು ಬ್ಯಾಕೆಂಡ್ ನಡುವೆ ಅದೇ ಥ್ರೆಡ್ನಲ್ಲಿ ಪ್ರಕ್ರಿಯೆಗೊಳಿಸಲಾಗುತ್ತದೆ. ಪ್ರವೇಶ ನಿರ್ಬಂಧ ವ್ಯವಸ್ಥೆಗಳನ್ನು ಬೈಪಾಸ್ ಮಾಡಲು ಅಥವಾ ಕಾನೂನುಬದ್ಧ ವೆಬ್ಸೈಟ್ನೊಂದಿಗೆ ಸೆಷನ್ಗೆ ದುರುದ್ದೇಶಪೂರಿತ ಜಾವಾಸ್ಕ್ರಿಪ್ಟ್ ಕೋಡ್ ಅನ್ನು ಸೇರಿಸಲು ದಾಳಿಯನ್ನು ಬಳಸಬಹುದು.
ಮೊದಲ ದುರ್ಬಲತೆ (CVE-2023-27522) mod_proxy_uwsgi ಮಾಡ್ಯೂಲ್ನ ಮೇಲೆ ಪರಿಣಾಮ ಬೀರುತ್ತದೆ ಮತ್ತು ಬ್ಯಾಕೆಂಡ್ನಿಂದ ಹಿಂತಿರುಗಿಸಿದ HTTP ಹೆಡರ್ನಲ್ಲಿ ವಿಶೇಷ ಅಕ್ಷರಗಳ ಪರ್ಯಾಯದ ಮೂಲಕ ಪ್ರತಿಕ್ರಿಯೆಯನ್ನು ಪ್ರಾಕ್ಸಿ ಬದಿಯಲ್ಲಿ ಎರಡು ಭಾಗಗಳಾಗಿ ವಿಭಜಿಸಲು ಅನುಮತಿಸುತ್ತದೆ.
ಎರಡನೇ ದುರ್ಬಲತೆ (CVE-2023-25690) mod_proxy ಯಲ್ಲಿದೆ ಮತ್ತು mod_rewrite ಮಾಡ್ಯೂಲ್ ಅಥವಾ ProxyPassMatch ನಿರ್ದೇಶನದಲ್ಲಿನ ಕೆಲವು ಮಾದರಿಗಳಿಂದ ಒದಗಿಸಲಾದ RewriteRule ನಿರ್ದೇಶನವನ್ನು ಬಳಸಿಕೊಂಡು ಕೆಲವು ವಿನಂತಿಯನ್ನು ಪುನಃ ಬರೆಯುವ ನಿಯಮಗಳನ್ನು ಬಳಸುವಾಗ ಸಂಭವಿಸುತ್ತದೆ. ದುರ್ಬಲತೆಯು ಪ್ರಾಕ್ಸಿ ಮೂಲಕ ಪ್ರವೇಶಿಸಲು ಅನುಮತಿಸದ ಆಂತರಿಕ ಸಂಪನ್ಮೂಲಗಳಿಗಾಗಿ ಪ್ರಾಕ್ಸಿ ಮೂಲಕ ವಿನಂತಿಯನ್ನು ಅಥವಾ ಸಂಗ್ರಹದ ವಿಷಯಗಳ ವಿಷಕ್ಕೆ ಕಾರಣವಾಗಬಹುದು. ಮ್ಯಾನಿಫೆಸ್ಟ್ನ ದುರ್ಬಲತೆಗಾಗಿ, ವಿನಂತಿಯನ್ನು ಪುನಃ ಬರೆಯುವ ನಿಯಮಗಳು URL ನಿಂದ ಡೇಟಾವನ್ನು ಬಳಸುವುದು ಅವಶ್ಯಕವಾಗಿದೆ, ನಂತರ ಅದನ್ನು ಮುಂದೆ ಕಳುಹಿಸಲಾದ ವಿನಂತಿಯಲ್ಲಿ ಬದಲಿಸಲಾಗುತ್ತದೆ. ಉದಾಹರಣೆಗೆ: RewriteEngine on RewriteRule “^/here/(.*)” » http://example.com:8080/elsewhere?$1″ http://example.com:8080/elsewhere ; [ಪಿ] ProxyPassReverse /ಇಲ್ಲಿ/ http://example.com:8080/ http://example.com:8080/
ಭದ್ರತೆಯಲ್ಲದ ಬದಲಾವಣೆಗಳಲ್ಲಿ:
- "-T" ಫ್ಲ್ಯಾಗ್ ಅನ್ನು rotatelogs ಯುಟಿಲಿಟಿಗೆ ಸೇರಿಸಲಾಗಿದೆ, ಇದು ಲಾಗ್ಗಳನ್ನು ತಿರುಗಿಸುವಾಗ, ಆರಂಭಿಕ ಲಾಗ್ ಫೈಲ್ ಅನ್ನು ಮೊಟಕುಗೊಳಿಸದೆ ನಂತರದ ಲಾಗ್ ಫೈಲ್ಗಳನ್ನು ಮೊಟಕುಗೊಳಿಸಲು ಅನುಮತಿಸುತ್ತದೆ.
- mod_ldap ಯಾವುದೇ ಹಳೆಯ ಸಂಪರ್ಕಗಳ ಮರುಬಳಕೆಯನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಲು LDAPConnectionPoolTTL ನಿರ್ದೇಶನದಲ್ಲಿ ನಕಾರಾತ್ಮಕ ಮೌಲ್ಯಗಳನ್ನು ಅನುಮತಿಸುತ್ತದೆ.
- mod_md ಮಾಡ್ಯೂಲ್, ACME (ಸ್ವಯಂಚಾಲಿತ ಪ್ರಮಾಣಪತ್ರ ನಿರ್ವಹಣಾ ಪರಿಸರ) ಪ್ರೋಟೋಕಾಲ್ ಅನ್ನು ಬಳಸಿಕೊಂಡು ಪ್ರಮಾಣಪತ್ರಗಳ ಸ್ವೀಕೃತಿ ಮತ್ತು ನಿರ್ವಹಣೆಯನ್ನು ಸ್ವಯಂಚಾಲಿತಗೊಳಿಸಲು ಬಳಸಲಾಗುತ್ತದೆ, libressl 3.5.0+ ನೊಂದಿಗೆ ಸಂಕಲಿಸಿದಾಗ, ED25519 ಡಿಜಿಟಲ್ ಸಿಗ್ನೇಚರ್ ಸ್ಕೀಮ್ಗೆ ಬೆಂಬಲ ಮತ್ತು ಸಾರ್ವಜನಿಕ ಪ್ರಮಾಣಪತ್ರ ಲಾಗ್ ಮಾಹಿತಿಗಾಗಿ (CT) ಬೆಂಬಲವನ್ನು ಒಳಗೊಂಡಿರುತ್ತದೆ. , ಪ್ರಮಾಣಪತ್ರ ಪಾರದರ್ಶಕತೆ). MDChallengeDns01 ನಿರ್ದೇಶನವು ಪ್ರತ್ಯೇಕ ಡೊಮೇನ್ಗಳಿಗೆ ಸೆಟ್ಟಿಂಗ್ಗಳ ವ್ಯಾಖ್ಯಾನವನ್ನು ಅನುಮತಿಸುತ್ತದೆ.
- mod_proxy_uwsgi HTTP ಬ್ಯಾಕೆಂಡ್ಗಳಿಂದ ಪ್ರತಿಕ್ರಿಯೆಗಳ ಪರಿಶೀಲನೆ ಮತ್ತು ಪಾರ್ಸಿಂಗ್ ಅನ್ನು ಬಿಗಿಗೊಳಿಸಿದೆ.
ಮೂಲ: opennet.ru