Apache HTTP சர்வர் 2.4.56 இன் வெளியீடு வெளியிடப்பட்டது, இது 6 மாற்றங்களை அறிமுகப்படுத்துகிறது மற்றும் முன்-இறுதி-பின்-இறுதி அமைப்புகளில் "HTTP கோரிக்கை கடத்தல்" தாக்குதல்களை மேற்கொள்ளும் சாத்தியக்கூறுடன் தொடர்புடைய 2 பாதிப்புகளை நீக்குகிறது பிற பயனர்களின் கோரிக்கைகளின் உள்ளடக்கங்கள், முன்பக்கம் மற்றும் பின்தளத்திற்கு இடையே ஒரே தொடரிழையில் செயலாக்கப்படும். அணுகல் கட்டுப்பாடு அமைப்புகளைத் தவிர்க்க அல்லது முறையான இணையதளத்துடன் கூடிய அமர்வில் தீங்கிழைக்கும் ஜாவாஸ்கிரிப்ட் குறியீட்டைச் செருக இந்தத் தாக்குதல் பயன்படுத்தப்படலாம்.
முதல் பாதிப்பு (CVE-2023-27522) mod_proxy_uwsgi தொகுதியைப் பாதிக்கிறது மற்றும் பின்தளத்தில் வழங்கப்படும் HTTP ஹெடரில் உள்ள சிறப்பு எழுத்துகளை மாற்றுவதன் மூலம் பதிலை ப்ராக்ஸி பக்கத்தில் இரண்டு பகுதிகளாகப் பிரிக்க அனுமதிக்கிறது.
இரண்டாவது பாதிப்பு (CVE-2023-25690) mod_proxy இல் உள்ளது மற்றும் mod_rewrite தொகுதி அல்லது ProxyPassMatch கட்டளையில் உள்ள சில வடிவங்கள் மூலம் வழங்கப்பட்ட RewriteRule கட்டளையைப் பயன்படுத்தி சில கோரிக்கைகளை மீண்டும் எழுதும் விதிகளைப் பயன்படுத்தும் போது நிகழ்கிறது. ப்ராக்ஸி மூலம் அணுக அனுமதிக்கப்படாத உள் வளங்களுக்கான ப்ராக்ஸி மூலம் கோரிக்கை விடுக்கப்படலாம் அல்லது தற்காலிக சேமிப்பு உள்ளடக்கங்களை விஷமாக்குவதற்கு பாதிப்பு ஏற்படலாம். பாதிப்பை வெளிப்படுத்த, கோரிக்கை மீண்டும் எழுதும் விதிகள் URL இலிருந்து தரவைப் பயன்படுத்துவது அவசியம், பின்னர் அது மேலும் அனுப்பப்படும் கோரிக்கையில் மாற்றப்படும். எடுத்துக்காட்டாக: RewriteEngine on RewriteRule “^/here/(.*)” » http://example.com:8080/elsewhere?$1″ http://example.com:8080/elsewhere ; [P] ProxyPassReverse /இங்கே/ http://example.com:8080/ http://example.com:8080/
பாதுகாப்பு அல்லாத மாற்றங்களில்:
- "-T" கொடி சுழலும் பதிவுகள் பயன்பாட்டில் சேர்க்கப்பட்டுள்ளது, இது பதிவுகளை சுழற்றும்போது, ஆரம்ப பதிவு கோப்பை துண்டிக்காமல் அடுத்தடுத்த பதிவு கோப்புகளை துண்டிக்க அனுமதிக்கிறது.
- mod_ldap ஆனது LDAPConnectionPoolTTL கட்டளையில் எதிர்மறை மதிப்புகளை பழைய இணைப்புகளின் மறுபயன்பாட்டை உள்ளமைக்க அனுமதிக்கிறது.
- mod_md தொகுதி, libressl 3.5.0+ உடன் தொகுக்கப்படும் போது, ACME (தானியங்கி சான்றிதழ் மேலாண்மை சூழல்) நெறிமுறையைப் பயன்படுத்தி சான்றிதழ்களின் ரசீது மற்றும் பராமரிப்பை தானியக்கமாக்கப் பயன்படுகிறது, ED25519 டிஜிட்டல் கையொப்பத் திட்டத்திற்கான ஆதரவையும் பொதுச் சான்றிதழ் பதிவு தகவலுக்கான (CT) கணக்கையும் உள்ளடக்கியது. , சான்றிதழ் வெளிப்படைத்தன்மை). MDChallengeDns01 கட்டளையானது தனிப்பட்ட டொமைன்களுக்கான அமைப்புகளின் வரையறையை அனுமதிக்கிறது.
- mod_proxy_uwsgi ஆனது HTTP பின்தளங்களில் இருந்து பதில்களை சரிபார்த்தல் மற்றும் பாகுபடுத்துதல் ஆகியவற்றை இறுக்கியுள்ளது.
ஆதாரம்: opennet.ru