Objavljeno je izdanje HTTP servera Apache 2.4.56 koje uvodi 6 izmjena i ispravlja 2 ranjivosti vezane za mogućnost izvođenja HTTP Request Smuggling napada na front-end-backend sisteme koji nam omogućavaju da se uvučemo u sadržaj zahtjeva drugih korisnika obrađen u istoj niti između frontenda i backenda. Napad se može koristiti za zaobilaženje sistema kontrole pristupa ili ubacivanje zlonamjernog JavaScript koda u sesiju sa legitimnom web lokacijom.
Prva ranjivost (CVE-2023-27522) utiče na modul mod_proxy_uwsgi i omogućava proxyju da podijeli odgovor na dva dijela zamjenom specijalnih znakova u HTTP zaglavlju koje vraća backend.
Druga ranjivost (CVE-2023-25690) je prisutna u mod_proxy i manifestira se kada se koriste neka pravila za ponovno pisanje zahtjeva koristeći RewriteRule direktivu koju obezbjeđuje modul mod_rewrite, ili određene obrasce u direktivi ProxyPassMatch. Ranjivost bi mogla dovesti do toga da proxy zahtijeva interne resurse koji nisu dostupni putem proxyja ili da zatroje sadržaj keša. Da bi se ranjivost manifestirala, potrebno je da se podaci iz URL-a koriste u pravilima za ponovno pisanje zahtjeva, koji se zatim zamjenjuju u zahtjev koji se dalje šalje. Na primjer: RewriteEngine na RewriteRule "^/ovdje/(.*)" » http://example.com:8080/elsewhere?$1″ http://example.com:8080/elsewhere ; [P] ProxyPassReverse /ovdje/ http://example.com:8080/ http://example.com:8080/
Nesigurnosne promjene uključuju:
- Oznaka "-T" dodata je uslužnom programu rotatelogs, koji omogućava, prilikom rotiranja dnevnika, skraćivanje narednih datoteka dnevnika bez skraćivanja početne datoteke dnevnika.
- mod_ldap dozvoljava negativne vrijednosti u LDAPConnectionPoolTTL direktivi za konfiguraciju ponovne upotrebe bilo koje stare veze.
- U modulu mod_md, koji se koristi za automatizaciju prijema i održavanja certifikata koristeći ACME (Automatic Certificate Management Environment) protokol, kada je izgrađen sa libressl 3.5.0+, podrška za šemu digitalnog potpisa ED25519 i obračun informacija u javnom dnevniku sertifikati (CT, Certificate Transparency) su uključeni. Direktiva MDChallengeDns01 dozvoljava definiranje postavki za pojedinačne domene.
- mod_proxy_uwsgi je pooštrio provjeru i raščlanjivanje odgovora iz HTTP backenda.
izvor: opennet.ru