Die Veröffentlichung des HTTP-Servers Apache 2.4.56 mit der Behebung von Sicherheitsanfälligkeiten

Die Version des HTTP-Servers Apache 2.4.56 wurde veröffentlicht, die 6 Änderungen und die Behebung von 2 Sicherheitsanfälligkeiten umfasst. Diese Schwachstellen betreffen mögliche 'HTTP Request Smuggling'-Angriffe auf Frontend-Backend-Systeme, die es Angreifern ermöglichen, sich in die Inhalte der Anfragen anderer Nutzer einzuschleusen, die im selben Datenstrom zwischen Frontend und Backend bearbeitet werden. Ein solcher Angriff kann dazu verwendet werden, Zugriffsbeschränkungssysteme zu umgehen oder bösartigen JavaScript-Code in eine Sitzung mit einer legitimen Website einzuschleusen.

Die erste Schwachstelle (CVE-2023-27522) betrifft das Modul mod_proxy_uwsgi und ermöglicht es auf der Proxy-Seite, die Antwort in zwei Teile zu zerlegen, indem spezielle Zeichen in den vom Backend zurückgegebenen HTTP-Header eingefügt werden.

Die zweite Schwachstelle (CVE-2023-25690) ist in mod_proxy vorhanden und tritt auf, wenn bestimmte Umleitungsregeln mit der RewriteRule-Direktive des mod_rewrite-Moduls oder bestimmten Mustern in der ProxyPassMatch-Direktive verwendet werden. Diese Schwachstelle kann dazu führen, dass interne Ressourcen, auf die über den Proxy kein Zugriff erlaubt ist, über den Proxy angefordert werden oder der Cache-Inhalt vergiftet wird. Um die Schwachstelle auszunutzen, müssen in den Umleitungsregeln Daten aus der URL verwendet werden, die dann in die nachfolgend gesendete Anfrage eingefügt werden. Zum Beispiel: RewriteEngine on RewriteRule "^/here/(.*)" " http://example.com:8080/elsewhere?$1" http://example.com:8080/elsewhere ; [P] ProxyPassReverse /here/ http://example.com:8080/ http://example.com:8080/

Zu den nicht sicherheitsrelevanten Änderungen:

  • Der Utility rotatelogs hat das Flag „-T“ erhalten, das es ermöglicht, beim Rotieren von Logs die nachfolgenden Log-Dateien ohne Kürzen der ursprünglichen Log-Datei zu beschneiden.
  • In mod_ldap ist es jetzt erlaubt, negative Werte in der Direktive LDAPConnectionPoolTTL anzugeben, um die Wiederverwendung von älteren Verbindungen zu steuern.
  • Im Modul mod_md, das zur Automatisierung der Beschaffung und Verwaltung von Zertifikaten mit dem ACME-Protokoll (Automatic Certificate Management Environment) verwendet wird, ist bei der Erstellung mit libressl 3.5.0+ die Unterstützung für das digitale Signaturschema ED25519 sowie die Berücksichtigung von Informationen aus dem öffentlichen Zertifikat-Log (CT, Certificate Transparency) aktiviert. In der Direktive MDChallengeDns01 ist die Definition von Einstellungen für einzelne Domains erlaubt.
  • In mod_proxy_uwsgi wurde die Überprüfung und Analyse der Antworten von HTTP-Backends verschärft.

Quelle: opennet.ru

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster