Π Π΅Π»ΠΈΠ· http-сСрвСра Apache 2.4.56 с устранСниСм уязвимостСй

ΠžΠΏΡƒΠ±Π»ΠΈΠΊΠΎΠ²Π°Π½ Ρ€Π΅Π»ΠΈΠ· HTTP-сСрвСра Apache 2.4.56, Π² ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠΌ прСдставлСно 6 ΠΈΠ·ΠΌΠ΅Π½Π΅Π½ΠΈΠΉ ΠΈ устранСно 2 уязвимости, связанныС с Π²ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡ‚ΡŒΡŽ провСдСния Π°Ρ‚Π°ΠΊ класса «HTTP Request Smuggling» Π½Π° систСмы фронтэнд-бэкСнд, ΠΏΠΎΠ·Π²ΠΎΠ»ΡΡŽΡ‰ΠΈΡ… Π²ΠΊΠ»ΠΈΠ½ΠΈΠ²Π°Ρ‚ΡŒΡΡ Π² содСрТимоС запросов Π΄Ρ€ΡƒΠ³ΠΈΡ… ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Π΅ΠΉ, ΠΎΠ±Ρ€Π°Π±Π°Ρ‚Ρ‹Π²Π°Π΅ΠΌΡ‹Ρ… Π² Ρ‚ΠΎΠΌ ΠΆΠ΅ ΠΏΠΎΡ‚ΠΎΠΊΠ΅ ΠΌΠ΅ΠΆΠ΄Ρƒ фронтэндом ΠΈ бэкСндом. Атака ΠΌΠΎΠΆΠ΅Ρ‚ Π±Ρ‹Ρ‚ΡŒ использована для ΠΎΠ±Ρ…ΠΎΠ΄Π° систСм ограничСния доступа ΠΈΠ»ΠΈ подстановки врСдоносного JavaScript-ΠΊΠΎΠ΄Π° Π² сСанс с Π»Π΅Π³ΠΈΡ‚ΠΈΠΌΠ½Ρ‹ΠΌ сайтом.

ΠŸΠ΅Ρ€Π²Π°Ρ ΡƒΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ (CVE-2023-27522) Π·Π°Ρ‚Ρ€Π°Π³ΠΈΠ²Π°Π΅Ρ‚ ΠΌΠΎΠ΄ΡƒΠ»ΡŒ mod_proxy_uwsgi ΠΈ позволяСт Π½Π° сторонС прокси Ρ€Π°Π·Π΄Π΅Π»ΠΈΡ‚ΡŒ ΠΎΡ‚Π²Π΅Ρ‚ Π½Π° Π΄Π²Π΅ части Ρ‡Π΅Ρ€Π΅Π· подстановку ΡΠΏΠ΅Ρ†ΠΈΠ°Π»ΡŒΠ½Ρ‹Ρ… символов Π² Π²ΠΎΠ·Π²Ρ€Π°Ρ‰Π°Π΅ΠΌΠΎΠΌ бэкСндом HTTP-Π·Π°Π³ΠΎΠ»ΠΎΠ²ΠΊΠ΅.

Вторая ΡƒΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ (CVE-2023-25690) присутствуСт Π² mod_proxy ΠΈ проявляСтся ΠΏΡ€ΠΈ использовании Π½Π΅ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Ρ… ΠΏΡ€Π°Π²ΠΈΠ» пСрСзаписи запросов ΠΏΡ€ΠΈ ΠΏΠΎΠΌΠΎΡ‰ΠΈ Π΄ΠΈΡ€Π΅ΠΊΡ‚ΠΈΠ²Ρ‹ RewriteRule, прСдоставляСмой ΠΌΠΎΠ΄ΡƒΠ»Π΅ΠΌ mod_rewrite, ΠΈΠ»ΠΈ ΠΎΠΏΡ€Π΅Π΄Π΅Π»Ρ‘Π½Π½Ρ‹Ρ… шаблонов Π² Π΄ΠΈΡ€Π΅ΠΊΡ‚ΠΈΠ²Π΅ ProxyPassMatch. Π£ΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ ΠΌΠΎΠΆΠ΅Ρ‚ привСсти ΠΊ запросу Ρ‡Π΅Ρ€Π΅Π· прокси Π²Π½ΡƒΡ‚Ρ€Π΅Π½Π½ΠΈΡ… рСсурсов, доступ ΠΊ ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΌ Ρ‡Π΅Ρ€Π΅Π· прокси Π·Π°ΠΏΡ€Π΅Ρ‰Ρ‘Π½, ΠΈΠ»ΠΈ ΠΊ ΠΎΡ‚Ρ€Π°Π²Π»Π΅Π½ΠΈΡŽ содСрТимого кэша. Для проявлСния уязвимости Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΠΎ, Ρ‡Ρ‚ΠΎΠ±Ρ‹ Π² ΠΏΡ€Π°Π²ΠΈΠ»Π°Ρ… пСрСзаписи запроса использовались Π΄Π°Π½Π½Ρ‹Π΅ ΠΈΠ· URL, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ Π·Π°Ρ‚Π΅ΠΌ ΠΏΠΎΠ΄ΡΡ‚Π°Π²Π»ΡΠ»ΠΈΡΡŒ Π² отправляСмый Π΄Π°Π»Π΅Π΅ запрос. НапримСр: RewriteEngine on RewriteRule «^/here/(.*)» » http://example.com:8080/elsewhere?$1″ http://example.com:8080/elsewhere ; [P] ProxyPassReverse /here/ http://example.com:8080/ http://example.com:8080/

Π‘Ρ€Π΅Π΄ΠΈ ΠΈΠ·ΠΌΠ΅Π½Π΅Π½ΠΈΠΉ, Π½Π΅ связанных с Π±Π΅Π·ΠΎΠΏΠ°ΡΠ½ΠΎΡΡ‚ΡŒΡŽ:

  • Π’ ΡƒΡ‚ΠΈΠ»ΠΈΡ‚Ρƒ rotatelogs Π΄ΠΎΠ±Π°Π²Π»Π΅Π½ Ρ„Π»Π°Π³ «-T», ΠΏΠΎΠ·Π²ΠΎΠ»ΡΡŽΡ‰ΠΈΠΉ ΠΏΡ€ΠΈ Ρ€ΠΎΡ‚Π°Ρ†ΠΈΠΈ Π»ΠΎΠ³ΠΎΠ² Π²Ρ‹ΠΏΠΎΠ»Π½ΡΡ‚ΡŒ усСчСниС ΠΏΠΎΡΠ»Π΅Π΄ΡƒΡŽΡ‰ΠΈΡ… Π»ΠΎΠ³-Ρ„Π°ΠΉΠ»ΠΎΠ² Π±Π΅Π· усСчСния Π½Π°Ρ‡Π°Π»ΡŒΠ½ΠΎΠ³ΠΎ Π»ΠΎΠ³-Ρ„Π°ΠΉΠ»Π°.
  • Π’ mod_ldap Ρ€Π°Π·Ρ€Π΅ΡˆΠ΅Π½ΠΎ ΡƒΠΊΠ°Π·Π°Π½ΠΈΠ΅ Π² Π΄ΠΈΡ€Π΅ΠΊΡ‚ΠΈΠ²Π΅ LDAPConnectionPoolTTL ΠΎΡ‚Ρ€ΠΈΡ†Π°Ρ‚Π΅Π»ΡŒΠ½Ρ‹Ρ… Π·Π½Π°Ρ‡Π΅Π½ΠΈΠΉ для настройки ΠΏΠΎΠ²Ρ‚ΠΎΡ€Π½ΠΎΠ³ΠΎ использования Π»ΡŽΠ±Ρ‹Ρ… старых соСдинСний.
  • Π’ ΠΌΠΎΠ΄ΡƒΠ»Π΅ mod_md, примСняСмом для Π°Π²Ρ‚ΠΎΠΌΠ°Ρ‚ΠΈΠ·Π°Ρ†ΠΈΠΈ получСния ΠΈ обслуТивания сСртификатов с использованиСм ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ»Π° ACME (Automatic Certificate Management Environment), ΠΏΡ€ΠΈ сборкС с libressl 3.5.0+ Π²ΠΊΠ»ΡŽΡ‡Π΅Π½Π° ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΊΠ° схСмы Ρ†ΠΈΡ„Ρ€ΠΎΠ²ΠΎΠΉ подписи ED25519 ΠΈ ΡƒΡ‡Π΅Ρ‚Π° ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΈ ΠΏΡƒΠ±Π»ΠΈΡ‡Π½ΠΎΠ³ΠΎ Π»ΠΎΠ³Π° сСртификатов (CT, Certificate Transparency). Π’ Π΄ΠΈΡ€Π΅ΠΊΡ‚ΠΈΠ²Π΅ MDChallengeDns01 Ρ€Π°Π·Ρ€Π΅ΡˆΠ΅Π½ΠΎ ΠΎΠΏΡ€Π΅Π΄Π΅Π»Π΅Π½ΠΈΠ΅ настроСк для ΠΎΡ‚Π΄Π΅Π»ΡŒΠ½Ρ‹Ρ… Π΄ΠΎΠΌΠ΅Π½ΠΎΠ².
  • Π’ mod_proxy_uwsgi уТСсточСна ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠ° ΠΈ Ρ€Π°Π·Π±ΠΎΡ€ ΠΎΡ‚Π²Π΅Ρ‚ΠΎΠ² ΠΎΡ‚ HTTP-бэкСндов.

Π˜ΡΡ‚ΠΎΡ‡Π½ΠΈΠΊ: opennet.ru