Bylo zveřejněno vydání Apache HTTP serveru 2.4.56, které zavádí 6 změn a odstraňuje 2 zranitelnosti spojené s možností provádět útoky „HTTP Request Smuggling“ na front-end-back-end systémy, což umožňuje vklínit se do obsah požadavků jiných uživatelů zpracovaných ve stejném vlákně mezi frontendem a backendem. Útok lze použít k obejití systémů omezení přístupu nebo vložení škodlivého kódu JavaScript do relace s legitimním webem.
První chyba zabezpečení (CVE-2023-27522) ovlivňuje modul mod_proxy_uwsgi a umožňuje rozdělení odpovědi na dvě části na straně proxy prostřednictvím nahrazení speciálních znaků v hlavičce HTTP vrácené backendem.
Druhá chyba zabezpečení (CVE-2023-25690) je přítomna v mod_proxy a vyskytuje se při použití určitých pravidel pro přepisování požadavků pomocí direktivy RewriteRule poskytované modulem mod_rewrite nebo určitých vzorů v direktivě ProxyPassMatch. Tato chyba zabezpečení by mohla vést k požadavku přes proxy na interní zdroje, k nimž je prostřednictvím proxy zakázán přístup, nebo k otravě obsahu mezipaměti. Aby se zranitelnost projevila, je nutné, aby pravidla pro přepis požadavku využívala data z URL, která se pak dosadí do požadavku, který je dále zasílán. Například: RewriteEngine na RewriteRule „^/here/(.*)“ » http://example.com:8080/elsewhere?$1″ http://example.com:8080/elsewhere ; [P] ProxyPassReverse /zde/ http://example.com:8080/ http://example.com:8080/
Mezi změny, které se netýkají zabezpečení:
- Do obslužného programu rotationlogs byl přidán příznak „-T“, který umožňuje při rotaci protokolů zkrátit následující soubory protokolu, aniž by došlo ke zkrácení počátečního souboru protokolu.
- mod_ldap umožňuje záporným hodnotám v direktivě LDAPConnectionPoolTTL nakonfigurovat opětovné použití všech starých připojení.
- Modul mod_md, který se používá k automatizaci příjmu a údržby certifikátů pomocí protokolu ACME (Automatic Certificate Management Environment), při kompilaci s libressl 3.5.0+, zahrnuje podporu pro schéma digitálního podpisu ED25519 a účtování pro informace z protokolu veřejného certifikátu (CT , Průhlednost certifikátu). Direktiva MDChallengeDns01 umožňuje definici nastavení pro jednotlivé domény.
- mod_proxy_uwsgi zpřísnil kontrolu a analýzu odpovědí z HTTP backendů.
Zdroj: opennet.ru