Ciao Marco,
nelle rewriterule le backreferences dovrebbero essere i $1 $2 che corrispondono con i gruppi che si catturano nella prima parte della rule con le parentesi, e [L,NC] sono i flag che impostano il comportamento della rewrite rule tipo le seguenti:
RewriteRule ^/(.*)
http://www.example.com/$1 [L,NC]
RewriteRule ^/sito2/(.*)
http://www2.example.com/$1 [L,NC]
Forse queste due rewriterule dovrebbero essere il prototipo di quelle indicate dall'annuncio.
In questo caso il flag L dice ad Apache che la regola è l'ultima e quindi se ci fossero sotto altre regole, non vengono elaborate. In effetti per come è fatta questa coppia di regole (inventate di sana pianta), la prima acchiappa tutto e quindi la
seconda non verrà mai eseguita.
NC dice di fare il match case-insensitive.
Ma nelle regole che hai inserito tu non ci sono backreferences, nel tuo caso le rewrite rule sono usate per rimbalzare eventuali riferimenti a vecchi path su un nuovo path statico, senza backreferences, quindi credo che non ci saranno problemi. Oltre al
flag L c'è R=301, cioè impone al browser di fare redirect con codice 301 (moved permanently), altrimenti il default del flag R è 302 (moved temporarily).
Mi rimane il dubbio di cosa voglia dire "Some out-of-specification RewriteRule directives that were previously silently accepted"
Mi piacerebbe vederne una di queste out-of-specification RewriteRule per capirne l'errore e la giusta formulazione...
Ciao
Lorenzo
-----Messaggio originale-----
Da: Marco Gaiarin <
gaio@lilliput.linux.it>
Inviato: mercoledì 26 aprile 2023 22:07
A:
debian-italian@lists.debian.org
Oggetto: Apache, CVE-2023-25690 e Rewrite Rules...
Beccato baco di Apache, debian pubblica:
https://lists.debian.org/debian-lts-announce/2023/04/msg00028.html
in cui inserisce la sibillina:
Unfortunately, fixing these security vulnerabilities may require changes to configuration files. Some out-of-specification RewriteRule directives that were previously silently accepted, are now rejected with error AH10409. For instance, some
RewriteRules that included a back-reference and the flags "[L,NC]" will need to be written with extra escaping flags such as "[B= ?,BNP,QSA]".
che o uno è un Guru delle Apache rewritre rule, o non ci capisce una sega.
Ad esempio "[L,NC]" vuol dire le rewrite rule che contengono 'L' e 'NC' o esattamente quelle che contengono 'L,NC'?!
Una rewritre rule come:
RewriteRule ^/\.well-known/carddav
https://%{SERVER_NAME}/remote.php/dav/ [R=301,L]
RewriteRule ^/\.well-known/caldav
https://%{SERVER_NAME}/remote.php/dav/ [R=301,L]
RewriteRule ^/\.well-known/webfinger
https://%{SERVER_NAME}/index.php/.well-known/webfinger [R=301,L]
(nextcloud) è vulnerabile?!
Grazie...
--
If SMB was an animal it would go wolf and most people would have shot it
or put it down humanely. (Rod Boyce)
--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)