S'ha publicat el llançament del servidor HTTP Apache 2.4.56, que introdueix 6 canvis i elimina 2 vulnerabilitats associades a la possibilitat de dur a terme atacs de "contrabans de sol·licituds HTTP" en sistemes front-end-back-end, permetent enfonsar-se en el continguts de les sol·licituds d'altres usuaris processats en el mateix fil entre el frontend i el backend. L'atac es pot utilitzar per evitar els sistemes de restricció d'accés o inserir codi JavaScript maliciós en una sessió amb un lloc web legítim.
La primera vulnerabilitat (CVE-2023-27522) afecta el mòdul mod_proxy_uwsgi i permet dividir la resposta en dues parts al costat del servidor intermediari mitjançant la substitució de caràcters especials a la capçalera HTTP que retorna el backend.
La segona vulnerabilitat (CVE-2023-25690) està present a mod_proxy i es produeix quan s'utilitzen determinades regles de reescriptura de sol·licituds mitjançant la directiva RewriteRule proporcionada pel mòdul mod_rewrite o determinats patrons de la directiva ProxyPassMatch. La vulnerabilitat podria provocar una sol·licitud a través d'un servidor intermediari per a recursos interns als quals no es permet accedir a través d'un servidor intermediari, o enverinar el contingut de la memòria cau. Perquè la vulnerabilitat es manifesti, és necessari que les regles de reescriptura de la sol·licitud utilitzin dades de l'URL, que després es substitueixen a la sol·licitud que s'envia més endavant. Per exemple: RewriteEngine a RewriteRule “^/here/(.*)” » http://example.com:8080/elsewhere?$1″ http://example.com:8080/elsewhere ; [P] ProxyPassReverse /aquí/ http://example.com:8080/ http://example.com:8080/
Entre els canvis que no són de seguretat:
- S'ha afegit el senyalador "-T" a la utilitat rotatelogs, que permet, en girar els registres, truncar els fitxers de registre posteriors sense truncar el fitxer de registre inicial.
- mod_ldap permet valors negatius a la directiva LDAPConnectionPoolTTL per configurar la reutilització de qualsevol connexió antiga.
- El mòdul mod_md, que s'utilitza per automatitzar la recepció i el manteniment de certificats mitjançant el protocol ACME (Automatic Certificate Management Environment), quan es compila amb libressl 3.5.0+, inclou suport per a l'esquema de signatura digital ED25519 i comptabilitat per a la informació del registre de certificat públic (CT). , Certificat de transparència). La directiva MDChallengeDns01 permet la definició de la configuració per a dominis individuals.
- mod_proxy_uwsgi ha reforçat la comprovació i l'anàlisi de les respostes dels backends HTTP.
Font: opennet.ru