Издаване на http сървър на Apache 2.4.56 с коригирани уязвимости

Публикувана е версията на HTTP сървъра Apache 2.4.56, която въвежда 6 промени и елиминира 2 уязвимости, свързани с възможността за извършване на атаки „HTTP Request Smuggling“ на предни и бек-енд системи, което позволява проникване в съдържание на заявки на други потребители, обработени в една и съща нишка между интерфейса и бекенда. Атаката може да се използва за заобикаляне на системи за ограничаване на достъпа или за вмъкване на злонамерен JavaScript код в сесия с легитимен уебсайт.

Първата уязвимост (CVE-2023-27522) засяга модула mod_proxy_uwsgi и позволява отговорът да бъде разделен на две части от страната на проксито чрез заместване на специални знаци в HTTP заглавката, върната от бекенда.

Втората уязвимост (CVE-2023-25690) присъства в mod_proxy и възниква при използване на определени правила за пренаписване на заявки, използвайки директивата RewriteRule, предоставена от модула mod_rewrite, или определени модели в директивата ProxyPassMatch. Уязвимостта може да доведе до искане през прокси за вътрешни ресурси, които не са разрешени за достъп чрез прокси, или до отравяне на съдържанието на кеша. За да се прояви уязвимостта, е необходимо правилата за пренаписване на заявка да използват данни от URL адреса, който след това се замества в заявката, която се изпраща по-нататък. Например: RewriteEngine на RewriteRule “^/тук/(.*)” » http://example.com:8080/elsewhere?$1″ http://example.com:8080/elsewhere ; [P] ProxyPassReverse /тук/ http://example.com:8080/ http://example.com:8080/

Сред промените, които не са свързани със сигурността:

• Флагът „-T“ е добавен към помощната програма rotatelogs, която позволява, когато се въртят регистрационни файлове, да се съкращават следващите регистрационни файлове, без да се съкращава първоначалният регистрационен файл.
• mod_ldap позволява отрицателни стойности в директивата LDAPConnectionPoolTTL за конфигуриране на повторното използване на всички стари връзки.
• Модулът mod_md, използван за автоматизиране на получаването и поддръжката на сертификати, използвайки протокола ACME (Среда за автоматично управление на сертификати), когато е компилиран с libressl 3.5.0+, включва поддръжка за схемата за цифров подпис ED25519 и отчитане на информацията от регистъра на публичните сертификати (CT , Прозрачност на сертификата). Директивата MDChallengeDns01 позволява дефинирането на настройки за отделни домейни.
• mod_proxy_uwsgi затегна проверката и анализирането на отговорите от HTTP бекенда.

Източник: opennet.ru