Апублікаваны рэліз HTTP-сервера Apache 2.4.56, у якім прадстаўлена 6 змен і ўхілена 2 уразлівасці, злучаныя з магчымасцю правядзення нападаў класа «HTTP Request Smuggling» на сістэмы фронтэнд-бэкенд, якія дазваляюць укліньвацца ў змесціва запытаў іншых карыстачоў, апрацоўваных у тым жа струмені паміж фронтэндам і бэкэндам. Атака можа быць скарыстана для абыходу сістэм абмежавання доступу або падстаноўкі шкоднаснага JavaScript-кода ў сеанс з легітымным сайтам.
Першая ўразлівасць (CVE-2023-27522) закранае модуль mod_proxy_uwsgi і дазваляе на боку проксі падзяліць адказ на дзве часткі праз падстаноўку спецыяльных сімвалаў у які вяртаецца бэкэндам HTTP-загалоўку.
Другая ўразлівасць (CVE-2023-25690) прысутнічае ў mod_proxy і выяўляецца пры выкарыстанні некаторых правіл перазапісу запытаў пры дапамозе дырэктывы RewriteRule, якая прадстаўляецца модулем mod_rewrite, або вызначаных шаблонаў у дырэктыве ProxyPassMatch. Уразлівасць можа прывесці да запыту праз проксі ўнутраных рэсурсаў, доступ да якіх праз проксі забаронены, або да атручвання змесціва кэша. Для праявы ўразлівасці неабходна, каб у правілах перазапісу запыту выкарыстоўваліся дадзеныя з URL, якія затым падстаўляліся ў які адпраўляецца далей запыт. Напрыклад: RewriteEngine on RewriteRule "^/here/(.*)" http://example.com:8080/elsewhere?$1″ http://example.com:8080/elsewhere ; [P] ProxyPassReverse /here/ http://example.com:8080/ http://example.com:8080/
Сярод змен, не звязаных з бяспекай:
- Ва ўтыліту rotatelogs дададзены сцяг "-T", які дазваляе пры ратацыі логаў выконваць ўсячэнне наступных лог-файлаў без ўсячэння пачатковага лог-файла.
- У mod_ldap дазволена ўказанне ў дырэктыве LDAPConnectionPoolTTL адмоўных значэнняў для настройкі паўторнага выкарыстання любых старых злучэнняў.
- У модулі mod_md, ужывальным для аўтаматызацыі атрымання і абслугоўвання сертыфікатаў з выкарыстаннем пратаколу ACME (Automatic Certificate Management Environment), пры зборцы з libressl 3.5.0+ уключаная падтрымка схемы лічбавага подпісу ED25519 і ўліку інфармацыі публічнага лога сертыфікатаў (CT, Certenc). У дырэктыве MDChallengeDns01 дазволена вызначэнне налад для асобных даменаў.
- У mod_proxy_uwsgi стала больш жорсткай праверка і разбор адказаў ад HTTP-бэкэндаў.
Крыніца: opennet.ru