Itusilẹ ti olupin HTTP Apache 2.4.56 ti ṣe atẹjade, eyiti o ṣafihan awọn ayipada 6 ati imukuro awọn ailagbara 2 ti o ni nkan ṣe pẹlu iṣeeṣe ti gbigbe awọn ikọlu “Ibeere Ibeere HTTP” lori awọn eto ipari-ipari iwaju, gbigba lati wọ sinu awọn akoonu ti awọn ibeere awọn olumulo miiran ti ni ilọsiwaju ni okun kanna laarin iwaju iwaju ati ẹhin. A le lo ikọlu naa lati fori awọn ọna ṣiṣe ihamọ iwọle tabi fi koodu JavaScript irira sinu igba kan pẹlu oju opo wẹẹbu ti o tọ.
Ailagbara akọkọ (CVE-2023-27522) ni ipa lori module mod_proxy_uwsgi ati gba idahun lati pin si awọn ẹya meji ni ẹgbẹ aṣoju nipasẹ iyipada awọn ohun kikọ pataki ni akọsori HTTP ti o pada nipasẹ ẹhin.
Ailagbara keji (CVE-2023-25690) wa ni mod_proxy ati pe o waye nigba lilo awọn ofin atunkọ ibeere kan nipa lilo itọsọna RewriteRule ti a pese nipasẹ module mod_rewrite tabi awọn ilana kan ninu itọsọna ProxyPassMatch. Ailagbara naa le ja si ibeere nipasẹ aṣoju fun awọn orisun inu ti a ko gba laaye lati wọle nipasẹ aṣoju, tabi si majele ti awọn akoonu kaṣe. Fun ailagbara lati ṣafihan, o jẹ dandan pe ibeere tun awọn ofin kọwe lo data lati URL, eyiti lẹhinna rọpo sinu ibeere ti o firanṣẹ siwaju. Fun apẹẹrẹ: RewriteEngine on RewriteRule “^/here/(.*)” http://example.com:8080/elsewhere?$1″ http://example.com:8080/esibi miiran; [P] ProxyPassReverse / nibi/ http://example.com:8080/ http://example.com:8080/
Lara awọn iyipada ti kii ṣe aabo:
- Asia “-T” ti ni afikun si ohun elo rotatelogs, eyiti ngbanilaaye, nigbati awọn akọọlẹ yiyi, lati ge awọn faili log ti o tẹle laisi gige faili log ni ibẹrẹ.
- mod_ldap ngbanilaaye awọn iye odi ninu itọsọna LDAPConnectionPoolTTL lati tunto ilotunlo ti eyikeyi awọn asopọ atijọ.
- Module mod_md naa, ti a lo lati ṣe adaṣe gbigba ati itọju awọn iwe-ẹri nipa lilo ilana ACME (Ayika Iṣakoso Ijẹrisi Aifọwọyi), nigba ti a ṣajọpọ pẹlu libressl 3.5.0+, pẹlu atilẹyin fun ero ibuwọlu oni nọmba ED25519 ati ṣiṣe iṣiro fun alaye log ijẹrisi gbogbo eniyan (CT). , Ijẹrisi akoyawo). Ilana MDChallengeDns01 ngbanilaaye itumọ awọn eto fun awọn ibugbe kọọkan.
- mod_proxy_uwsgi ti ṣe ayẹwo ati ṣiṣayẹwo awọn idahun lati awọn ẹhin HTTP.
orisun: opennet.ru