اپاچي HTTP سرور 2.4.56 جاري ڪيو ويو آهي. اهو ڇهه تبديليون متعارف ڪرائي ٿو ۽ فرنٽ اينڊ-بئڪ اينڊ سسٽم تي HTTP درخواست سمگلنگ حملن جي امڪان سان لاڳاپيل ٻن ڪمزورين کي درست ڪري ٿو. هي حملو حملي آورن کي فرنٽ اينڊ ۽ بئڪ اينڊ جي وچ ۾ ساڳئي سلسلي ۾ پروسيس ٿيل ٻين استعمال ڪندڙن جي درخواستن ۾ مواد داخل ڪرڻ جي اجازت ڏئي ٿو. هي حملو رسائي ڪنٽرول سسٽم کي نظرانداز ڪرڻ يا جائز ويب سائيٽ سان سيشن ۾ خراب جاوا اسڪرپٽ ڪوڊ داخل ڪرڻ لاءِ استعمال ڪري سگهجي ٿو.
پهرين ڪمزوري (CVE-2023-27522) mod_proxy_uwsgi ماڊيول کي متاثر ڪري ٿي ۽ پراڪسي پاسي کي پس منظر طرفان واپس ايندڙ HTTP هيڊر ۾ خاص اکرن کي متبادل بڻائي جواب کي ٻن حصن ۾ ورهائڻ جي اجازت ڏئي ٿي.
ٻيو ڪمزوري (CVE-2023-25690) mod_proxy ۾ موجود آهي ۽ ان وقت ظاهر ٿئي ٿو جڏهن ڪجهه درخواستن جي ٻيهر لکڻ جا قاعدا mod_rewrite پاران مهيا ڪيل RewriteRule هدايت يا ProxyPassMatch هدايت ۾ ڪجهه نمونن کي استعمال ڪندي استعمال ڪيا ويندا آهن. ڪمزوري پراڪسي ذريعي اندروني وسيلن لاءِ درخواست ڪري سگهي ٿي جيڪي پراڪسي ذريعي اجازت نه آهن، يا ڪيش پوائزننگ لاءِ. ڪمزوري ظاهر ٿيڻ لاءِ، درخواست جي ٻيهر لکڻ جي ضابطن کي URL مان ڊيٽا استعمال ڪرڻ گهرجي، جيڪو پوءِ ايندڙ درخواست ۾ متبادل بڻايو ويندو آهي. مثال طور: RewriteEngine on RewriteRule "^/here/(.*)" » http://example.com:8080/elsewhere?$1" http://example.com:8080/elsewhere ; [P] ProxyPassReverse /here/ http://example.com:8080/ http://example.com:8080/
غير سيڪيورٽي تبديلين ۾ شامل آهن:
- "-T" جھنڊو روٽيلاگس يوٽيلٽي ۾ شامل ڪيو ويو آهي، جيڪو شروعاتي لاگ فائل کي ٽرنڪيٽ ڪرڻ کان سواءِ لاگ گھمائڻ وقت ايندڙ لاگ فائلن کي ٽرنڪيٽ ڪرڻ جي اجازت ڏئي ٿو.
- mod_ldap LDAPConnectionPoolTTL هدايت کي اجازت ڏئي ٿو ته ڪنهن به پراڻي ڪنيڪشن جي ٻيهر استعمال کي مجبور ڪرڻ لاءِ منفي قدر بيان ڪري.
- mod_md ماڊيول، جيڪو ACME (آٽوميٽڪ سرٽيفڪيٽ مئنيجمينٽ انوائرمينٽ) پروٽوڪول استعمال ڪندي سرٽيفڪيٽ حاصل ڪرڻ ۽ سار سنڀال کي خودڪار ڪرڻ لاءِ استعمال ڪيو ويندو هو، هاڻي ED25519 ڊجيٽل دستخط اسڪيم ۽ سرٽيفڪيٽ ٽرانسپيرينسي (CT) معلومات کي پبلڪ سرٽيفڪيٽ لاگ ۾ سپورٽ ڪري ٿو جڏهن libressl 3.5.0+ سان ٺهيل آهي. MDChallengeDns01 هدايت هر ڊومين سيٽنگن جي اجازت ڏئي ٿي.
- mod_proxy_uwsgi ۾، HTTP پٺاڻن کان جوابن جي تصديق ۽ تجزيي کي سخت ڪيو ويو آهي.
جو ذريعو: opennet.ru
