ะะฟัะฑะปะธะบะพะฒะฐะฝ ัะตะปะธะท HTTP-ัะตัะฒะตัะฐ Apache 2.4.56, ะฒ ะบะพัะพัะพะผ ะฟัะตะดััะฐะฒะปะตะฝะพ 6 ะธะทะผะตะฝะตะฝะธะน ะธ ััััะฐะฝะตะฝะพ 2 ััะทะฒะธะผะพััะธ, ัะฒัะทะฐะฝะฝัะต ั ะฒะพะทะผะพะถะฝะพัััั ะฟัะพะฒะตะดะตะฝะธั ะฐัะฐะบ ะบะปะฐััะฐ ยซHTTP Request Smugglingยป ะฝะฐ ัะธััะตะผั ััะพะฝััะฝะด-ะฑัะบะตะฝะด, ะฟะพะทะฒะพะปัััะธั ะฒะบะปะธะฝะธะฒะฐัััั ะฒ ัะพะดะตัะถะธะผะพะต ะทะฐะฟัะพัะพะฒ ะดััะณะธั ะฟะพะปัะทะพะฒะฐัะตะปะตะน, ะพะฑัะฐะฑะฐััะฒะฐะตะผัั ะฒ ัะพะผ ะถะต ะฟะพัะพะบะต ะผะตะถะดั ััะพะฝััะฝะดะพะผ ะธ ะฑัะบะตะฝะดะพะผ. ะัะฐะบะฐ ะผะพะถะตั ะฑััั ะธัะฟะพะปัะทะพะฒะฐะฝะฐ ะดะปั ะพะฑั ะพะดะฐ ัะธััะตะผ ะพะณัะฐะฝะธัะตะฝะธั ะดะพัััะฟะฐ ะธะปะธ ะฟะพะดััะฐะฝะพะฒะบะธ ะฒัะตะดะพะฝะพัะฝะพะณะพ JavaScript-ะบะพะดะฐ ะฒ ัะตะฐะฝั ั ะปะตะณะธัะธะผะฝัะผ ัะฐะนัะพะผ.
ะะตัะฒะฐั ััะทะฒะธะผะพััั (CVE-2023-27522) ะทะฐััะฐะณะธะฒะฐะตั ะผะพะดัะปั mod_proxy_uwsgi ะธ ะฟะพะทะฒะพะปัะตั ะฝะฐ ััะพัะพะฝะต ะฟัะพะบัะธ ัะฐะทะดะตะปะธัั ะพัะฒะตั ะฝะฐ ะดะฒะต ัะฐััะธ ัะตัะตะท ะฟะพะดััะฐะฝะพะฒะบั ัะฟะตัะธะฐะปัะฝัั ัะธะผะฒะพะปะพะฒ ะฒ ะฒะพะทะฒัะฐัะฐะตะผะพะผ ะฑัะบะตะฝะดะพะผ HTTP-ะทะฐะณะพะปะพะฒะบะต.
ะัะพัะฐั ััะทะฒะธะผะพััั (CVE-2023-25690) ะฟัะธัััััะฒัะตั ะฒ mod_proxy ะธ ะฟัะพัะฒะปัะตััั ะฟัะธ ะธัะฟะพะปัะทะพะฒะฐะฝะธะธ ะฝะตะบะพัะพััั ะฟัะฐะฒะธะป ะฟะตัะตะทะฐะฟะธัะธ ะทะฐะฟัะพัะพะฒ ะฟัะธ ะฟะพะผะพัะธ ะดะธัะตะบัะธะฒั RewriteRule, ะฟัะตะดะพััะฐะฒะปัะตะผะพะน ะผะพะดัะปะตะผ mod_rewrite, ะธะปะธ ะพะฟัะตะดะตะปัะฝะฝัั ัะฐะฑะปะพะฝะพะฒ ะฒ ะดะธัะตะบัะธะฒะต ProxyPassMatch. ะฃัะทะฒะธะผะพััั ะผะพะถะตั ะฟัะธะฒะตััะธ ะบ ะทะฐะฟัะพัั ัะตัะตะท ะฟัะพะบัะธ ะฒะฝัััะตะฝะฝะธั ัะตััััะพะฒ, ะดะพัััะฟ ะบ ะบะพัะพััะผ ัะตัะตะท ะฟัะพะบัะธ ะทะฐะฟัะตััะฝ, ะธะปะธ ะบ ะพััะฐะฒะปะตะฝะธั ัะพะดะตัะถะธะผะพะณะพ ะบััะฐ. ะะปั ะฟัะพัะฒะปะตะฝะธั ััะทะฒะธะผะพััะธ ะฝะตะพะฑั ะพะดะธะผะพ, ััะพะฑั ะฒ ะฟัะฐะฒะธะปะฐั ะฟะตัะตะทะฐะฟะธัะธ ะทะฐะฟัะพัะฐ ะธัะฟะพะปัะทะพะฒะฐะปะธัั ะดะฐะฝะฝัะต ะธะท URL, ะบะพัะพััะต ะทะฐัะตะผ ะฟะพะดััะฐะฒะปัะปะธัั ะฒ ะพัะฟัะฐะฒะปัะตะผัะน ะดะฐะปะตะต ะทะฐะฟัะพั. ะะฐะฟัะธะผะตั: RewriteEngine on RewriteRule ยซ^/here/(.*)ยป ยป http://example.com:8080/elsewhere?$1โณ http://example.com:8080/elsewhere ; [P] ProxyPassReverse /here/ http://example.com:8080/ http://example.com:8080/
ะกัะตะดะธ ะธะทะผะตะฝะตะฝะธะน, ะฝะต ัะฒัะทะฐะฝะฝัั ั ะฑะตะทะพะฟะฐัะฝะพัััั:
- ะ ััะธะปะธัั rotatelogs ะดะพะฑะฐะฒะปะตะฝ ัะปะฐะณ ยซ-Tยป, ะฟะพะทะฒะพะปัััะธะน ะฟัะธ ัะพัะฐัะธะธ ะปะพะณะพะฒ ะฒัะฟะพะปะฝััั ััะตัะตะฝะธะต ะฟะพัะปะตะดัััะธั ะปะพะณ-ัะฐะนะปะพะฒ ะฑะตะท ััะตัะตะฝะธั ะฝะฐัะฐะปัะฝะพะณะพ ะปะพะณ-ัะฐะนะปะฐ.
- ะ mod_ldap ัะฐะทัะตัะตะฝะพ ัะบะฐะทะฐะฝะธะต ะฒ ะดะธัะตะบัะธะฒะต LDAPConnectionPoolTTL ะพััะธัะฐัะตะปัะฝัั ะทะฝะฐัะตะฝะธะน ะดะปั ะฝะฐัััะพะนะบะธ ะฟะพะฒัะพัะฝะพะณะพ ะธัะฟะพะปัะทะพะฒะฐะฝะธั ะปัะฑัั ััะฐััั ัะพะตะดะธะฝะตะฝะธะน.
- ะ ะผะพะดัะปะต mod_md, ะฟัะธะผะตะฝัะตะผะพะผ ะดะปั ะฐะฒัะพะผะฐัะธะทะฐัะธะธ ะฟะพะปััะตะฝะธั ะธ ะพะฑัะปัะถะธะฒะฐะฝะธั ัะตััะธัะธะบะฐัะพะฒ ั ะธัะฟะพะปัะทะพะฒะฐะฝะธะตะผ ะฟัะพัะพะบะพะปะฐ ACME (Automatic Certificate Management Environment), ะฟัะธ ัะฑะพัะบะต ั libressl 3.5.0+ ะฒะบะปััะตะฝะฐ ะฟะพะดะดะตัะถะบะฐ ัั ะตะผั ัะธััะพะฒะพะน ะฟะพะดะฟะธัะธ ED25519 ะธ ััะตัะฐ ะธะฝัะพัะผะฐัะธะธ ะฟัะฑะปะธัะฝะพะณะพ ะปะพะณะฐ ัะตััะธัะธะบะฐัะพะฒ (CT, Certificate Transparency). ะ ะดะธัะตะบัะธะฒะต MDChallengeDns01 ัะฐะทัะตัะตะฝะพ ะพะฟัะตะดะตะปะตะฝะธะต ะฝะฐัััะพะตะบ ะดะปั ะพัะดะตะปัะฝัั ะดะพะผะตะฝะพะฒ.
- ะ mod_proxy_uwsgi ัะถะตััะพัะตะฝะฐ ะฟัะพะฒะตัะบะฐ ะธ ัะฐะทะฑะพั ะพัะฒะตัะพะฒ ะพั HTTP-ะฑัะบะตะฝะดะพะฒ.
เปเบซเบผเปเบเบเปเปเบกเบนเบ: opennet.ru