Apache 2.4.56 HTTP سرور رليز شايع ڪيو ويو آهي، جيڪو متعارف ڪرايو ويو آهي 6 تبديليون ۽ 2 ڪمزورين کي حل ڪرڻ جي امڪان سان لاڳاپيل HTTP درخواست اسمگلنگ حملن کي اڳتي وڌڻ واري-پٺاڻ واري سسٽم تي جيڪي اسان کي اجازت ڏين ٿا ٻين استعمال ڪندڙن جي درخواستن جي مواد ۾. فرنٽ اينڊ ۽ پس منظر جي وچ ۾ ساڳئي سلسلي ۾ پروسيس ٿيل. حملي کي استعمال ڪري سگھجي ٿو رسائي ڪنٽرول سسٽم کي بائي پاس ڪرڻ يا بدسلوڪي جاوا اسڪرپٽ ڪوڊ کي هڪ جائز سائيٽ سان سيشن ۾ داخل ڪرڻ لاءِ.
پهريون نقصان (CVE-2023-27522) mod_proxy_uwsgi ماڊل کي متاثر ڪري ٿو ۽ پراکسي کي اجازت ڏئي ٿو ته جواب کي ٻن حصن ۾ ورهائي HTTP هيڊر ۾ خاص اکرن کي متبادل ڪري پس منظر طرفان.
ٻيو نقصان (CVE-2023-25690) mod_proxy ۾ موجود آهي ۽ پاڻ کي ظاهر ڪري ٿو جڏهن ڪجهه درخواستن کي ٻيهر لکڻ جي ضابطن کي استعمال ڪيو ويندو آهي استعمال ڪندي RewriteRule mod_rewrite ماڊل پاران مهيا ڪيل هدايت، يا ProxyPassMatch هدايت ۾ ڪجهه نمونن. خطري جي نتيجي ۾ ٿي سگهي ٿو هڪ پراکسي جي درخواست ڪري اندروني وسيلن جيڪي پراکسي ذريعي نه پهچن، يا ڪيش جي مواد کي زهر ڏئي. ظاھر ٿيڻ جي خطري لاء، اھو ضروري آھي ته URL مان ڊيٽا کي استعمال ڪيو وڃي درخواست جي ٻيهر لکڻ جي ضابطن ۾، جيڪي پوء وڌيڪ موڪليل درخواست ۾ متبادل آھن. مثال طور: RewriteEngine on RewriteRule "^/here/(.*)" » http://example.com:8080/elsewhere?$1″ http://example.com:8080/elsewhere ; [P] ProxyPassReverse /here/ http://example.com:8080/ http://example.com:8080/
غير سيڪيورٽي تبديلين ۾ شامل آهن:
- "-T" جھنڊو rotatelogs جي يوٽيلٽي ۾ شامل ڪيو ويو آھي، جنھن جي اجازت ڏئي ٿي، جڏھن گھمڻ لاگز کي، ايندڙ لاگ فائلن کي ٽرنڪيٽ ڪرڻ کان سواءِ ابتدائي لاگ فائل کي ڪٽڻ جي.
- Mod_ldap LDAPConnectionPoolTTL هدايت ۾ منفي قدرن کي اجازت ڏئي ٿو ته ڪنهن به پراڻي ڪنيڪشن جي ٻيهر استعمال کي ترتيب ڏيڻ لاءِ.
- mod_md ماڊل ۾، ACME (خودڪار سرٽيفڪيٽ مئنيجمينٽ انوائرمينٽ) پروٽوڪول استعمال ڪندي سرٽيفڪيٽن جي وصولي ۽ سار سنڀال کي خودڪار ڪرڻ لاءِ استعمال ڪيو ويو، جڏهن libressl 3.5.0+ سان ٺهيل، ڊجيٽل دستخطي اسڪيم ED25519 لاءِ سپورٽ ۽ عوامي لاگ ۾ معلومات لاءِ اڪائونٽنگ. سرٽيفڪيٽ (CT، سرٽيفڪيٽ شفافيت) شامل آهن. MDChallengeDns01 هدايتون انفرادي ڊومينز لاءِ سيٽنگون بيان ڪرڻ جي اجازت ڏئي ٿي.
- mod_proxy_uwsgi سخت ڪيو ويو چيڪنگ ۽ جوابن کي پارس ڪرڻ HTTP پٺاڻن کان.
جو ذريعو: opennet.ru