Apache HTTP සේවාදායකයේ 2.4.56 නිකුතුව ප්රකාශයට පත් කර ඇත, එය වෙනස්කම් 6 ක් හඳුන්වා දෙන අතර ඉදිරිපස-අන්ත-පසුපස-අන්ත පද්ධති මත “HTTP ඉල්ලීම් ජාවාරම්” ප්රහාර සිදු කිරීමේ හැකියාව හා සම්බන්ධ අවදානම් 2 ක් ඉවත් කරයි. අනෙකුත් පරිශීලකයන්ගේ ඉල්ලීම් වල අන්තර්ගතය ඉදිරිපස සහ පසුපෙළ අතර එකම නූලෙහි සකසන ලදී. ප්රවේශ සීමා පද්ධති මඟ හැරීමට හෝ නීත්යානුකූල වෙබ් අඩවියක් සහිත සැසියකට අනිෂ්ට JavaScript කේතය ඇතුළු කිරීමට ප්රහාරය භාවිතා කළ හැක.
පළමු අවදානම (CVE-2023-27522) mod_proxy_uwsgi මොඩියුලයට බලපාන අතර පසු අන්තය මඟින් ආපසු ලබා දෙන HTTP ශීර්ෂයේ විශේෂ අක්ෂර ආදේශ කිරීම හරහා ප්රතිචාරය ප්රොක්සි පැත්තේ කොටස් දෙකකට බෙදීමට ඉඩ සලසයි.
දෙවන අවදානම (CVE-2023-25690) mod_proxy හි පවතින අතර mod_rewrite මොඩියුලය මගින් සපයන ලද RewriteRule විධානය හෝ ProxyPassMatch විධානය තුළ ඇති ඇතැම් රටා භාවිතයෙන් යම් ඉල්ලීම් නැවත ලිවීමේ රීති භාවිතා කරන විට සිදු වේ. අවදානම අභ්යන්තර සම්පත් සඳහා ප්රොක්සියක් හරහා ඉල්ලීමක් කිරීමට, ප්රොක්සියක් හරහා ප්රවේශ වීම තහනම් කිරීමට හෝ හැඹිලි අන්තර්ගතයන් විෂ වීමට හේතු විය හැක. ප්රකාශ කිරීමට ඇති අවදානම සඳහා, ඉල්ලීම නැවත ලිවීමේ රීති URL වෙතින් දත්ත භාවිතා කිරීම අවශ්ය වේ, එය තවදුරටත් යවන ඉල්ලීමට ආදේශ කරනු ලැබේ. උදාහරණයක් ලෙස: RewriteEngine on RewriteRule “^/here/(.*)” » http://example.com:8080/elsewhere?$1″ http://example.com:8080/elsewhere ; [P] ProxyPassReverse /මෙතන/ http://example.com:8080/ http://example.com:8080/
ආරක්ෂක නොවන වෙනස්කම් අතර:
- "-T" ධජය rotatelogs උපයෝගිතා වෙත එක් කර ඇත, එය ලොග භ්රමණය කරන විට, ආරම්භක ලොග් ගොනුව කප්පාදු නොකර පසුකාලීන ලොග් ගොනු කප්පාදු කිරීමට ඉඩ සලසයි.
- mod_ldap ඕනෑම පැරණි සම්බන්ධතා නැවත භාවිතා කිරීම වින්යාස කිරීමට LDAPConnectionPoolTTL විධානය තුළ සෘණ අගයන් ලබා දෙයි.
- mod_md මොඩියුලය, libressl 3.5.0+ සමඟ සම්පාදනය කරන ලද ACME (ස්වයංක්රීය සහතික කළමනාකරණ පරිසරය) ප්රොටෝකෝලය භාවිතයෙන් සහතික ලැබීම සහ නඩත්තු කිරීම ස්වයංක්රීය කිරීමට භාවිතා කරයි, ED25519 ඩිජිටල් අත්සන් යෝජනා ක්රමය සඳහා සහය සහ පොදු සහතික ලොග් තොරතුරු (CT) සඳහා ගිණුම්කරණය ඇතුළත් වේ. , සහතික විනිවිදභාවය). MDChallengeDns01 විධානය තනි වසම් සඳහා සැකසුම් නිර්වචනය කිරීමට ඉඩ දෙයි.
- mod_proxy_uwsgi විසින් HTTP පසුබිම් වලින් ප්රතිචාර පරීක්ෂා කිරීම සහ විග්රහ කිරීම දැඩි කර ඇත.
මූලාශ්රය: opennet.ru