Kutolewa kwa seva ya Apache HTTP 2.4.56 kumechapishwa, ambayo inaleta mabadiliko 6 na kuondoa udhaifu 2 unaohusishwa na uwezekano wa kufanya mashambulizi ya "HTTP Request Smuggling" kwenye mifumo ya mbele-nyuma-nyuma, kuruhusu kuingia kwenye yaliyomo katika maombi ya watumiaji wengine yaliyochakatwa katika uzi ule ule kati ya mandhari ya mbele na ya nyuma. Shambulio hilo linaweza kutumiwa kukwepa mifumo ya vizuizi vya ufikiaji au kuingiza msimbo hasidi wa JavaScript kwenye kipindi kilicho na tovuti halali.
Athari ya kwanza (CVE-2023-27522) huathiri moduli ya mod_proxy_uwsgi na inaruhusu jibu kugawanywa katika sehemu mbili kwenye upande wa seva mbadala kupitia uwekaji wa herufi maalum katika kichwa cha HTTP kinachorejeshwa na mandharinyuma.
Athari ya pili (CVE-2023-25690) inapatikana katika mod_proksi na hutokea wakati wa kutumia sheria fulani za kuandika upya ombi kwa kutumia maelekezo ya RewriteRule yanayotolewa na moduli ya mod_rewrite au ruwaza fulani katika maagizo ya ProxyPassMatch. Athari hii inaweza kusababisha ombi kupitia seva mbadala ya rasilimali za ndani ambazo haziruhusiwi kufikiwa kupitia seva mbadala, au kwa sumu ya yaliyomo kwenye akiba. Ili athari ionekane, ni muhimu kwamba sheria za kuandika upya ombi zitumie data kutoka kwa URL, ambayo inabadilishwa kuwa ombi linalotumwa zaidi. Kwa mfano: RewriteEngine kwenye RewriteRule β^/here/(.*)β Β» http://example.com:8080/elsewhere?$1β³ http://example.com:8080/elsewhere ; [P] ProxyPassReverse /hapa/ http://example.com:8080/ http://example.com:8080/
Miongoni mwa mabadiliko yasiyo ya usalama:
- Bendera ya "-T" imeongezwa kwa matumizi ya rotatelogs, ambayo inaruhusu, wakati wa kuzungusha kumbukumbu, kupunguza faili za kumbukumbu zinazofuata bila kupunguza faili ya kumbukumbu ya awali.
- mod_ldap inaruhusu maadili hasi katika maagizo ya LDAPConnectionPoolTTL kusanidi utumiaji tena wa miunganisho yoyote ya zamani.
- Mod_md moduli, inayotumika kufanyia kazi upokeaji na udumishaji wa vyeti kiotomatiki kwa kutumia itifaki ya ACME (Mazingira ya Kusimamia Cheti Kiotomatiki), inapojumuishwa na libressl 3.5.0+, inajumuisha usaidizi wa mpango wa sahihi wa dijiti wa ED25519 na uhasibu kwa habari ya kumbukumbu ya cheti cha umma (CT , Uwazi wa Cheti). Maagizo ya MDChallengeDns01 inaruhusu ufafanuzi wa mipangilio ya vikoa binafsi.
- mod_proxy_uwsgi imeimarisha ukaguzi na uchanganuzi wa majibu kutoka kwa viambajengo vya nyuma vya HTTP.
Chanzo: opennet.ru