Apache HTTP సర్వర్ 2.4.56 విడుదల ప్రచురించబడింది, ఇది 6 మార్పులను పరిచయం చేస్తుంది మరియు ఫ్రంట్-ఎండ్-బ్యాక్-ఎండ్ సిస్టమ్లపై "HTTP రిక్వెస్ట్ స్మగ్లింగ్" దాడులను నిర్వహించే అవకాశంతో సంబంధం ఉన్న 2 దుర్బలత్వాలను తొలగిస్తుంది ఇతర వినియోగదారుల అభ్యర్థనల కంటెంట్లు ఫ్రంటెండ్ మరియు బ్యాకెండ్ మధ్య ఒకే థ్రెడ్లో ప్రాసెస్ చేయబడతాయి. యాక్సెస్ పరిమితి సిస్టమ్లను దాటవేయడానికి లేదా చట్టబద్ధమైన వెబ్సైట్తో సెషన్లో హానికరమైన జావాస్క్రిప్ట్ కోడ్ను ఇన్సర్ట్ చేయడానికి దాడిని ఉపయోగించవచ్చు.
మొదటి దుర్బలత్వం (CVE-2023-27522) mod_proxy_uwsgi మాడ్యూల్ని ప్రభావితం చేస్తుంది మరియు బ్యాకెండ్ ద్వారా అందించబడిన HTTP హెడర్లోని ప్రత్యేక అక్షరాల ప్రత్యామ్నాయం ద్వారా ప్రతిస్పందనను ప్రాక్సీ వైపు రెండు భాగాలుగా విభజించడానికి అనుమతిస్తుంది.
రెండవ దుర్బలత్వం (CVE-2023-25690) mod_proxyలో ఉంది మరియు mod_rewrite మాడ్యూల్ లేదా ProxyPassMatch డైరెక్టివ్లోని నిర్దిష్ట నమూనాల ద్వారా అందించబడిన RewriteRule డైరెక్టివ్ని ఉపయోగించి నిర్దిష్ట అభ్యర్థన రీరైటింగ్ నియమాలను ఉపయోగిస్తున్నప్పుడు సంభవిస్తుంది. దుర్బలత్వం ప్రాక్సీ ద్వారా యాక్సెస్ చేయడానికి అనుమతించబడని అంతర్గత వనరుల కోసం ప్రాక్సీ ద్వారా అభ్యర్థనకు దారితీయవచ్చు లేదా కాష్ కంటెంట్ల విషపూరితం కావచ్చు. మానిఫెస్ట్ దుర్బలత్వం కోసం, అభ్యర్థన రీరైట్ నియమాలు URL నుండి డేటాను ఉపయోగించడం అవసరం, అది తదుపరి పంపబడే అభ్యర్థనలో ప్రత్యామ్నాయంగా ఉంటుంది. ఉదాహరణకు: RewriteEngine on RewriteRule “^/here/(.*)” » http://example.com:8080/elsewhere?$1″ http://example.com:8080/elsewhere ; [P] ProxyPassReverse /ఇక్కడ/ http://example.com:8080/ http://example.com:8080/
భద్రత లేని మార్పులలో:
- "-T" ఫ్లాగ్ రొటేట్లాగ్స్ యుటిలిటీకి జోడించబడింది, ఇది లాగ్లను తిరిగేటప్పుడు, ప్రారంభ లాగ్ ఫైల్ను కత్తిరించకుండా తదుపరి లాగ్ ఫైల్లను కత్తిరించడానికి అనుమతిస్తుంది.
- mod_ldap ఏదైనా పాత కనెక్షన్ల పునర్వినియోగాన్ని కాన్ఫిగర్ చేయడానికి LDAPConnectionPoolTTL డైరెక్టివ్లో ప్రతికూల విలువలను అనుమతిస్తుంది.
- mod_md మాడ్యూల్, ACME (ఆటోమేటిక్ సర్టిఫికేట్ మేనేజ్మెంట్ ఎన్విరాన్మెంట్) ప్రోటోకాల్ను ఉపయోగించి సర్టిఫికేట్ల రసీదు మరియు నిర్వహణను ఆటోమేట్ చేయడానికి ఉపయోగిస్తారు, libressl 3.5.0+తో కంపైల్ చేసినప్పుడు, ED25519 డిజిటల్ సిగ్నేచర్ స్కీమ్కు మద్దతు మరియు పబ్లిక్ సర్టిఫికేట్ లాగ్ సమాచారం (CT) కోసం అకౌంటింగ్ ఉంటుంది. , సర్టిఫికెట్ పారదర్శకత). MDChallengeDns01 డైరెక్టివ్ వ్యక్తిగత డొమైన్ల కోసం సెట్టింగ్ల నిర్వచనాన్ని అనుమతిస్తుంది.
- mod_proxy_uwsgi HTTP బ్యాకెండ్ల నుండి ప్రతిస్పందనలను తనిఖీ చేయడం మరియు అన్వయించడం కఠినతరం చేసింది.
మూలం: opennet.ru