La liberigo de la Apache HTTP-servilo 2.4.56 estis publikigita, kiu enkondukas 6 ŝanĝojn kaj forigas 2 vundeblecojn asociitajn kun la ebleco efektivigi atakojn "HTTP Request Smuggling" sur front-end-back-end-sistemoj, permesante kojni en la. enhavo de petoj de aliaj uzantoj procesitaj en la sama fadeno inter fasado kaj backend. La atako povas esti uzata por preteriri sistemojn de limigo de aliro aŭ enmeti malican JavaScript-kodon en seancon kun legitima retejo.
La unua vundebleco (CVE-2023-27522) influas la mod_proxy_uwsgi-modulon kaj permesas la respondon esti dividita en du partojn ĉe la prokura flanko per la anstataŭigo de specialaj signoj en la HTTP-kapo redonita de la backend.
La dua vundebleco (CVE-2023-25690) ĉeestas en mod_proxy kaj okazas kiam oni uzas iujn petajn reverkajn regulojn per la direktivo RewriteRule provizita de la mod_rewrite-modulo aŭ iuj ŝablonoj en la direktivo ProxyPassMatch. La vundebleco povus konduki al peto per prokurilo por internaj rimedoj, kiuj ne rajtas esti alireblaj per prokurilo, aŭ al venenado de kaŝmemorenhavo. Por ke la vundebleco manifestiĝu, necesas, ke la peto-reskriba reguloj uzu datumojn de la URL, kiu tiam estas anstataŭigita en la peton, kiu estas sendita plu. Ekzemple: RewriteEngine sur RewriteRule “^/here/(.*)” » http://example.com:8080/elsewhere?$1″ http://example.com:8080/elsewhere ; [P] ProxyPassReverse /ĉi tie/ http://example.com:8080/ http://example.com:8080/
Inter la ne-sekurecaj ŝanĝoj:
- La flago "-T" estis aldonita al la ilo rotatelogs, kiu ebligas, dum turnado de protokoloj, detranĉi postajn protokolojn sen detranĉi la komencan protokoldosieron.
- mod_ldap permesas negativajn valorojn en la direktivo LDAPConnectionPoolTTL por agordi la reuzon de iuj malnovaj ligoj.
- La mod_md-modulo, uzata por aŭtomatigi la kvitancon kaj prizorgadon de atestiloj uzante la protokolon ACME (Automatic Certificate Management Environment), kiam kompilita kun libressl 3.5.0+, inkluzivas subtenon por la cifereca subskriba skemo ED25519 kaj kontadon por publikaj registritaj informoj (CT). , Atestilo-Travidebleco). La direktivo MDChallengeDns01 permesas la difinon de agordoj por individuaj domajnoj.
- mod_proxy_uwsgi plifortigis la kontroladon kaj analizadon de respondoj de HTTP-backends.
fonto: opennet.ru