Нашри сервери HTTP Apache 2.4.56 нашр шуд, ки 6 тағирот ворид мекунад ва 2 осебпазирии марбут ба имкони анҷом додани ҳамлаҳои “HTTP Request Smuggling” дар системаҳои пеш-интихобиро аз байн мебарад. мӯҳтавои дархостҳои корбарони дигар, ки дар як ришта байни фронт ва пушти сар коркард шудаанд. Ҳамла метавонад барои гузаштан аз системаҳои маҳдудияти дастрасӣ ё ворид кардани рамзи зараровар ба JavaScript ба сессия бо вебсайти қонунӣ истифода шавад.
Ҳассосияти аввал (CVE-2023-27522) ба модули mod_proxy_uwsgi таъсир мерасонад ва имкон медиҳад, ки вокуниш ба ду қисм дар тарафи прокси тавассути иваз кардани аломатҳои махсус дар сарлавҳаи HTTP аз тарафи пуштибон баргардонида шавад.
Осебпазирии дуюм (CVE-2023-25690) дар mod_proxy мавҷуд аст ва ҳангоми истифодаи қоидаҳои муайяни азнавнависии дархост бо истифода аз дастури RewriteRule, ки аз ҷониби модули mod_rewrite ё намунаҳои муайян дар дастури ProxyPassMatch пешниҳод шудааст, рух медиҳад. Ин осебпазирӣ метавонад ба дархост тавассути прокси захираҳои дохилӣ, ки дастрасӣ ба онҳо тавассути прокси манъ аст ё ба заҳролудшавии мундариҷаи кэш оварда расонад. Барои ошкор шудани осебпазирӣ, зарур аст, ки қоидаҳои азнавнависии дархост маълумотро аз URL истифода баранд, ки баъдан ба дархосте, ки минбаъд фиристода мешавад, иваз карда мешавад. Масалан: RewriteEngine дар RewriteRule “^/here/(.*)” » http://example.com:8080/elsewhere?$1″ http://example.com:8080/elsewhere ; [P] ProxyPassReverse /дар ин ҷо/ http://example.com:8080/ http://example.com:8080/
Дар байни тағиротҳои бехатарӣ:
- Парчами "-T" ба утилитаи rotatelogs илова карда шуд, ки имкон медиҳад, ки ҳангоми гардиши гузоришҳо, бидуни буридани файли сабти ибтидоӣ, файлҳои гузориши минбаъдаро буред.
- mod_ldap имкон медиҳад, ки арзишҳои манфӣ дар дастури LDAPConnectionPoolTTL барои танзими истифодаи дубораи ҳама гуна пайвастҳои кӯҳна.
- Модули mod_md, ки барои автоматикунонии қабул ва нигоҳдории сертификатҳо бо истифода аз протоколи ACME (Муҳити идоракунии шаҳодатномаҳои худкор) истифода мешавад, вақте ки бо libressl 3.5.0+ тартиб дода шудааст, дастгирии нақшаи имзои рақамии ED25519 ва баҳисобгирии иттилооти сабти шаҳодатномаҳои ҷамъиятиро (CT) дар бар мегирад. , Шаффофияти сертификат). Директиваи MDChallengeDns01 имкон медиҳад, ки танзимот барои доменҳои инфиродӣ муайян карда шаванд.
- mod_proxy_uwsgi тафтиш ва таҳлили посухҳоро аз пуштибони HTTP пурзӯр кардааст.
Манбаъ: opennet.ru