Es wurde die HTTP-Serverversion Apache 2.4.56 veröffentlicht, die sechs Änderungen einführt und zwei Schwachstellen behebt, die mit der Möglichkeit der Durchführung von HTTP-Request-Smuggling-Angriffen auf Front-End-Backend-Systeme zusammenhängen, die es uns ermöglichen, in den Inhalt von Anfragen anderer Benutzer einzudringen im selben Thread zwischen Frontend und Backend verarbeitet. Der Angriff kann verwendet werden, um Zugangskontrollsysteme zu umgehen oder bösartigen JavaScript-Code in eine Sitzung mit einer legitimen Website einzuschleusen.
Die erste Schwachstelle (CVE-2023-27522) betrifft das Modul mod_proxy_uwsgi und ermöglicht es dem Proxy, die Antwort in zwei Teile aufzuteilen, indem er Sonderzeichen im vom Backend zurückgegebenen HTTP-Header ersetzt.
Die zweite Schwachstelle (CVE-2023-25690) ist in mod_proxy vorhanden und manifestiert sich, wenn einige Regeln zum Umschreiben von Anforderungen mithilfe der vom Modul mod_rewrite bereitgestellten RewriteRule-Direktive oder bestimmter Muster in der ProxyPassMatch-Direktive verwendet werden. Die Sicherheitslücke könnte dazu führen, dass ein Proxy interne Ressourcen anfordert, auf die über den Proxy nicht zugegriffen werden kann, oder den Inhalt des Caches vergiftet. Damit sich die Schwachstelle manifestiert, ist es notwendig, dass die Daten der URL in den Regeln zum Umschreiben der Anfrage verwendet werden, die dann in die weitergesendete Anfrage eingefügt werden. Zum Beispiel: RewriteEngine on RewriteRule "^/here/(.*)" » http://example.com:8080/elsewhere?$1″ http://example.com:8080/elsewhere ; [P] ProxyPassReverse /hier/ http://example.com:8080/ http://example.com:8080/
Zu den nicht sicherheitsrelevanten Änderungen gehören:
- Dem Dienstprogramm „rotatelogs“ wurde das Flag „-T“ hinzugefügt, das es ermöglicht, beim Rotieren von Protokollen nachfolgende Protokolldateien abzuschneiden, ohne die ursprüngliche Protokolldatei abzuschneiden.
- Mod_ldap lässt negative Werte in der LDAPConnectionPoolTTL-Direktive zu, um die Wiederverwendung aller alten Verbindungen zu konfigurieren.
- Im mod_md-Modul, das zur Automatisierung des Empfangs und der Verwaltung von Zertifikaten mithilfe des ACME-Protokolls (Automatic Certificate Management Environment) verwendet wird, unterstützt es bei der Erstellung mit libressl 3.5.0+ das digitale Signaturschema ED25519 und berücksichtigt Informationen im öffentlichen Protokoll von Zertifikate (CT, Certificate Transparency) ist enthalten. Die MDChallengeDns01-Direktive ermöglicht die Definition von Einstellungen für einzelne Domänen.
- mod_proxy_uwsgi hat die Überprüfung und Analyse von Antworten von HTTP-Backends verschärft.
Source: opennet.ru