Apache HTTP ์๋ฒ 2.4.56์ ๋ฆด๋ฆฌ์ค๊ฐ ๋ฐํ๋์์ต๋๋ค. ์ด ๋ฒ์ ์ ํ๋ฐํธ์๋-๋ฐฑ์๋ ์์คํ ์ ๋ํ "HTTP ์์ฒญ ์ค๋จธ๊ธ๋ง(HTTP Request Smuggling)" ๊ณต๊ฒฉ์ ์ํํ ๊ฐ๋ฅ์ฑ๊ณผ ๊ด๋ จ๋ 6๊ฐ์ง ๋ณ๊ฒฝ ์ฌํญ์ ๋์ ํ๊ณ 2๊ฐ์ง ์ทจ์ฝ์ ์ ์ ๊ฑฐํ์ฌ ํ๋ก ํธ์๋์ ๋ฐฑ์๋ ์ฌ์ด์ ๋์ผํ ์ค๋ ๋์์ ์ฒ๋ฆฌ๋๋ ๋ค๋ฅธ ์ฌ์ฉ์์ ์์ฒญ ๋ด์ฉ์ ๋๋ค. ์ด ๊ณต๊ฒฉ์ ์ ๊ทผ ์ ํ ์์คํ ์ ์ฐํํ๊ฑฐ๋ ํฉ๋ฒ์ ์ธ ์น์ฌ์ดํธ์ ์ธ์ ์ ์ ์ฑ JavaScript ์ฝ๋๋ฅผ ์ฝ์ ํ๋ ๋ฐ ์ฌ์ฉ๋ ์ ์์ต๋๋ค.
์ฒซ ๋ฒ์งธ ์ทจ์ฝ์ (CVE-2023-27522)์ mod_proxy_uwsgi ๋ชจ๋์ ์ํฅ์ ๋ฏธ์น๋ฉฐ ๋ฐฑ์๋์์ ๋ฐํ๋ HTTP ํค๋์ ํน์ ๋ฌธ์ ๋์ฒด๋ฅผ ํตํด ํ๋ก์ ์ธก์์ ์๋ต์ด ๋ ๋ถ๋ถ์ผ๋ก ๋ถํ ๋๋๋ก ํ์ฉํฉ๋๋ค.
๋ ๋ฒ์งธ ์ทจ์ฝ์ (CVE-2023-25690)์ mod_proxy์ ์กด์ฌํ๋ฉฐ mod_rewrite ๋ชจ๋์์ ์ ๊ณตํ๋ RewriteRule ์ง์์ด ๋๋ ProxyPassMatch ์ง์์ด์ ํน์ ํจํด์ ์ฌ์ฉํ์ฌ ํน์ ์์ฒญ ๋ค์ ์ฐ๊ธฐ ๊ท์น์ ์ฌ์ฉํ ๋ ๋ฐ์ํฉ๋๋ค. ์ด ์ทจ์ฝ์ ์ผ๋ก ์ธํด ํ๋ก์๋ฅผ ํตํด ์ก์ธ์ค๊ฐ ํ์ฉ๋์ง ์๋ ๋ด๋ถ ๋ฆฌ์์ค์ ๋ํ ํ๋ก์๋ฅผ ํตํ ์์ฒญ์ด ๋ฐ์ํ๊ฑฐ๋ ์บ์ ์ฝํ ์ธ ๊ฐ ์์๋ ์ ์์ต๋๋ค. ์ทจ์ฝ์ ์ด ๋ํ๋๋ ค๋ฉด ์์ฒญ ์ฌ์์ฑ ๊ท์น์ด URL์ ๋ฐ์ดํฐ๋ฅผ ์ฌ์ฉํด์ผ ํ๋ฉฐ, ์ด ๋ฐ์ดํฐ๋ ์ถ๊ฐ๋ก ์ ์ก๋๋ ์์ฒญ์ผ๋ก ๋์ฒด๋ฉ๋๋ค. ์: RewriteRule "^/here/(.*)"์ RewriteEngine ยป http://example.com:8080/elsewhere?$1โณ http://example.com:8080/elsewhere ; [P] ProxyPassReverse /์ฌ๊ธฐ/ http://example.com:8080/ http://example.com:8080/
๋น๋ณด์ ๋ณ๊ฒฝ ์ฌํญ ์ค:
- "-T" ํ๋๊ทธ๊ฐ Rotatelogs ์ ํธ๋ฆฌํฐ์ ์ถ๊ฐ๋์์ต๋๋ค. ์ด๋ฅผ ํตํด ๋ก๊ทธ๋ฅผ ํ์ ํ ๋ ์ด๊ธฐ ๋ก๊ทธ ํ์ผ์ ์๋ฅด์ง ์๊ณ ํ์ ๋ก๊ทธ ํ์ผ์ ์๋ฅผ ์ ์์ต๋๋ค.
- mod_ldap์ ์ฌ์ฉํ๋ฉด LDAPConnectionPoolTTL ์ง์๋ฌธ์ ์์ ๊ฐ์ ์ฌ์ฉํ์ฌ ์ด์ ์ฐ๊ฒฐ์ ์ฌ์ฌ์ฉ์ ๊ตฌ์ฑํ ์ ์์ต๋๋ค.
- libressl 3.5.0+๋ก ์ปดํ์ผํ ๋ ACME(์๋ ์ธ์ฆ์ ๊ด๋ฆฌ ํ๊ฒฝ) ํ๋กํ ์ฝ์ ์ฌ์ฉํ์ฌ ์ธ์ฆ์ ์์ ๋ฐ ์ ์ง ๊ด๋ฆฌ๋ฅผ ์๋ํํ๋ ๋ฐ ์ฌ์ฉ๋๋ mod_md ๋ชจ๋์๋ ED25519 ๋์งํธ ์๋ช ์ฒด๊ณ์ ๋ํ ์ง์๊ณผ ๊ณต์ฉ ์ธ์ฆ์ ๋ก๊ทธ ์ ๋ณด(CT)์ ๋ํ ๊ณ์ ์ด ํฌํจ๋ฉ๋๋ค. , ์ธ์ฆ์ ํฌ๋ช ์ฑ). MDChallengeDns01 ์ง์๋ฌธ์ ์ฌ์ฉํ๋ฉด ๊ฐ๋ณ ๋๋ฉ์ธ์ ๋ํ ์ค์ ์ ์ ์ํ ์ ์์ต๋๋ค.
- mod_proxy_uwsgi๋ HTTP ๋ฐฑ์๋์ ์๋ต ํ์ธ ๋ฐ ๊ตฌ๋ฌธ ๋ถ์์ ๊ฐํํ์ต๋๋ค.
์ถ์ฒ : opennet.ru