Die vrystelling van die Apache HTTP-bediener 2.4.56 is gepubliseer, wat 6 veranderinge instel en 2 kwesbaarhede uitskakel wat verband hou met die moontlikheid om "HTTP Request Smuggling"-aanvalle op voor-en-agter-end-stelsels uit te voer, wat dit moontlik maak om in die inhoud van ander gebruikers se versoeke verwerk in dieselfde draad tussen frontend en backend. Die aanval kan gebruik word om toegangsbeperkingstelsels te omseil of kwaadwillige JavaScript-kode in 'n sessie met 'n wettige webwerf in te voeg.
Die eerste kwesbaarheid (CVE-2023-27522) affekteer die mod_proxy_uwsgi-module en laat toe dat die antwoord in twee dele op die proxy-kant verdeel word deur die vervanging van spesiale karakters in die HTTP-kopskrif wat deur die backend teruggestuur word.
Die tweede kwesbaarheid (CVE-2023-25690) is teenwoordig in mod_proxy en vind plaas wanneer sekere versoekherskryfreëls gebruik word deur die RewriteRule-aanwysing wat deur die mod_rewrite-module verskaf word, of sekere patrone in die ProxyPassMatch-aanwysing. Die kwesbaarheid kan lei tot 'n versoek deur 'n instaanbediener vir interne hulpbronne, waartoe toegang deur 'n instaanbediener verbied word, of tot vergiftiging van kasinhoud. Vir die kwesbaarheid om te manifesteer, is dit nodig dat die versoek-herskryfreëls data van die URL gebruik, wat dan vervang word in die versoek wat verder gestuur word. Byvoorbeeld: RewriteEngine op RewriteRule “^/hier/(.*)” » http://example.com:8080/elsewhere?$1″ http://example.com:8080/elsewhere ; [P] ProxyPassReverse /hier/ http://example.com:8080/ http://example.com:8080/
Onder die nie-sekuriteitsveranderinge:
- Die "-T"-vlag is by die rotatelogs-nutsding gevoeg, wat toelaat dat, wanneer logboeke gedraai word, daaropvolgende loglêers afgekap word sonder om die aanvanklike loglêer af te kap.
- mod_ldap laat negatiewe waardes in die LDAPConnectionPoolTTL-richtlijn toe om die hergebruik van enige ou verbindings op te stel.
- Die mod_md-module, wat gebruik word om die ontvangs en instandhouding van sertifikate te outomatiseer deur gebruik te maak van die ACME (Automatic Certificate Management Environment) protokol, wanneer saamgestel met libressl 3.5.0+, sluit ondersteuning in vir die ED25519 digitale handtekeningskema en verantwoording vir publieke sertifikaatloginligting (CT) , Sertifikaat Deursigtigheid). Die MDChallengeDns01-richtlijn laat die definisie van instellings vir individuele domeine toe.
- mod_proxy_uwsgi het die kontrolering en ontleding van antwoorde vanaf HTTP-agtergronde verskerp.
Bron: opennet.ru