Frigivelsen af Apache HTTP-serveren 2.4.56 er blevet offentliggjort, som introducerer 6 ændringer og eliminerer 2 sårbarheder forbundet med muligheden for at udføre "HTTP Request Smuggling"-angreb på front-end-back-end-systemer, hvilket gør det muligt at kile ind i indholdet af andre brugeres anmodninger behandlet i samme tråd mellem frontend og backend. Angrebet kan bruges til at omgå adgangsbegrænsningssystemer eller indsætte ondsindet JavaScript-kode i en session med et legitimt websted.
Den første sårbarhed (CVE-2023-27522) påvirker mod_proxy_uwsgi-modulet og gør det muligt at opdele svaret i to dele på proxy-siden gennem udskiftning af specialtegn i HTTP-headeren, der returneres af backend.
Den anden sårbarhed (CVE-2023-25690) er til stede i mod_proxy og opstår, når der bruges visse regler for omskrivning af anmodninger ved hjælp af RewriteRule-direktivet leveret af mod_rewrite-modulet eller visse mønstre i ProxyPassMatch-direktivet. Sårbarheden kan føre til en anmodning via en proxy om interne ressourcer, der ikke er tilladt at få adgang til via en proxy, eller til forgiftning af cacheindhold. For at sårbarheden skal manifestere sig, er det nødvendigt, at reglerne for omskrivning af anmodningen bruger data fra URL'en, som derefter erstattes af den anmodning, der sendes videre. For eksempel: RewriteEngine på RewriteRule “^/here/(.*)” » http://example.com:8080/elsewhere?$1″ http://example.com:8080/elsewhere ; [P] ProxyPassReverse /here/ http://example.com:8080/ http://example.com:8080/
Blandt de ikke-sikkerhedsmæssige ændringer:
- "-T"-flaget er blevet tilføjet til rotatelogs-værktøjet, som tillader, når der roteres logfiler, at afkorte efterfølgende logfiler uden at afkorte den indledende logfil.
- mod_ldap tillader negative værdier i LDAPConnectionPoolTTL-direktivet for at konfigurere genbrug af alle gamle forbindelser.
- Mod_md-modulet, der bruges til at automatisere modtagelse og vedligeholdelse af certifikater ved hjælp af ACME-protokollen (Automatic Certificate Management Environment), når det er kompileret med libressl 3.5.0+, inkluderer understøttelse af ED25519 digital signaturskema og tager højde for offentlig certifikatloginformation (CT). , Certifikatgennemsigtighed). MDChallengeDns01-direktivet tillader definition af indstillinger for individuelle domæner.
- mod_proxy_uwsgi har strammet kontrollen og parsingen af svar fra HTTP-backends.
Kilde: opennet.ru