Apache HTTP серверинин 2.4.56 релизи жарыяланды, ал 6 өзгөртүүлөрдү киргизет жана алдыңкы системаларга кирүүгө мүмкүндүк берген "HTTP Request Smuggling" чабуулдарын жүргүзүү мүмкүнчүлүгү менен байланышкан 2 алсыздыкты жок кылат. башка колдонуучулардын суроо-талаптарынын мазмуну frontend жана backend ортосунда бир эле жипте иштетилген. Кол салуу мүмкүнчүлүгүн чектөө системаларын айланып өтүү же зыяндуу JavaScript кодун мыйзамдуу веб-сайт менен сессияга киргизүү үчүн колдонулушу мүмкүн.
Биринчи аялуу (CVE-2023-27522) mod_proxy_uwsgi модулуна таасирин тийгизет жана сервер тарабынан кайтарылган HTTP башындагы атайын символдорду алмаштыруу аркылуу жоопту прокси тараптан эки бөлүккө бөлүүгө мүмкүндүк берет.
Экинчи аялуу (CVE-2023-25690) mod_proxy ичинде бар жана mod_rewrite модулу тарабынан берилген RewriteRule директивасын же ProxyPassMatch директивасында белгилүү үлгүлөрдү колдонуу менен белгилүү бир суроо-талапты кайра жазуу эрежелерин колдонууда пайда болот. Алсыздык прокси аркылуу кирүүгө тыюу салынган ички ресурстар үчүн прокси аркылуу суроо-талапка же кэштин мазмунун ууланууга алып келиши мүмкүн. Алсыздыктын ачыкка чыгышы үчүн, суранычты кайра жазуу эрежелери URL даректеринен берилиштерди колдонушу керек, ал андан ары жөнөтүлүүчү суроо-талапка алмаштырылат. Мисалы: RewriteEngine боюнча RewriteRule “^/here/(.*)” » http://example.com:8080/elsewhere?$1″ http://example.com:8080/elsewhere ; [P] ProxyPassReverse /бул жерде/ http://example.com:8080/ http://example.com:8080/
Коопсуздук эмес өзгөртүүлөр арасында:
- “-T” желеги rotatelogs утилитасына кошулду, ал журналдарды айлантууда баштапкы журнал файлын кыскартпастан кийинки журнал файлдарын кыскартууга мүмкүндүк берет.
- mod_ldap LDAPConnectionPoolTTL директивасында терс маанилерди каалаган эски байланыштарды кайра колдонууну конфигурациялоого мүмкүндүк берет.
- ACME (Automatic Certificate Management Environment) протоколун колдонуу менен сертификаттарды алууну жана тейлөөнү автоматташтыруу үчүн колдонулган mod_md модулу, libressl 3.5.0+ менен түзүлгөндө, ED25519 санарип колтамга схемасын колдоону жана жалпы сертификат журналынын маалыматын эсепке алууну камтыйт (CT) , Сертификаттын ачыктыгы). MDChallengeDns01 директивасы жеке домендер үчүн орнотууларды аныктоого мүмкүндүк берет.
- mod_proxy_uwsgi HTTP серверлеринен жоопторду текшерүүнү жана талдоону күчөттү.
Source: opennet.ru