Apache HTTP serverining 2.4.56 versiyasi e'lon qilindi, u 6 ta o'zgarishlarni kiritadi va front-end-back-end tizimlarida "HTTP Request Smuggling" hujumlarini amalga oshirish imkoniyati bilan bog'liq bo'lgan 2 zaiflikni yo'q qiladi, bu esa tarmoqqa kirishga imkon beradi. boshqa foydalanuvchilarning so'rovlarining mazmuni frontend va backend o'rtasidagi bir xil oqimda qayta ishlanadi. Hujum kirishni cheklash tizimlarini chetlab o'tish yoki zararli JavaScript kodini qonuniy veb-sayt bilan sessiyaga kiritish uchun ishlatilishi mumkin.
Birinchi zaiflik (CVE-2023-27522) mod_proxy_uwsgi moduliga ta'sir qiladi va server tomonidan qaytarilgan HTTP sarlavhasidagi maxsus belgilarni almashtirish orqali javobni proksi-server tomonida ikki qismga bo'lish imkonini beradi.
Ikkinchi zaiflik (CVE-2023-25690) mod_proxy da mavjud va mod_rewrite moduli tomonidan taqdim etilgan RewriteRule direktivasi yoki ProxyPassMatch direktivasidagi ma'lum naqshlar yordamida ma'lum so'rovlarni qayta yozish qoidalaridan foydalanganda yuzaga keladi. Zaiflik proksi-server orqali kirishga ruxsat etilmagan ichki resurslar uchun proksi-server orqali so'rov yuborilishi yoki kesh tarkibining zaharlanishiga olib kelishi mumkin. Zaiflik paydo bo'lishi uchun so'rovni qayta yozish qoidalari URL manzilidagi ma'lumotlardan foydalanishi kerak, keyinchalik ular keyingi yuboriladigan so'rovga almashtiriladi. Masalan: RewriteEngine RewriteRule-da “^/here/(.*)” » http://example.com:8080/elsewhere?$1″ http://example.com:8080/elsewhere ; [P] ProxyPassReverse /bu yerda/ http://example.com:8080/ http://example.com:8080/
Xavfsizlikka oid bo'lmagan o'zgarishlarga quyidagilar kiradi:
- "-T" bayrog'i rotatelogs yordam dasturiga qo'shildi, bu jurnallarni aylantirishda dastlabki jurnal faylini kesmasdan keyingi jurnal fayllarini kesish imkonini beradi.
- mod_ldap eski ulanishlardan qayta foydalanishni sozlash uchun LDAPConnectionPoolTTL direktivasidagi salbiy qiymatlarga ruxsat beradi.
- libressl 3.5.0+ bilan tuzilgan ACME (Automatic Certificate Management Environment) protokolidan foydalangan holda sertifikatlarni qabul qilish va ularga xizmat ko‘rsatishni avtomatlashtirish uchun foydalaniladigan mod_md moduli ED25519 raqamli imzo sxemasini qo‘llab-quvvatlashni va umumiy sertifikat jurnali ma’lumotlarini (CT) hisobga olishni o‘z ichiga oladi. , Sertifikatning shaffofligi). MDChallengeDns01 direktivasi alohida domenlar uchun sozlamalarni aniqlash imkonini beradi.
- mod_proxy_uwsgi HTTP serverlaridan javoblarni tekshirish va tahlil qilishni kuchaytirdi.
Manba: opennet.ru