Se ha publicado el lanzamiento del servidor Apache HTTP 2.4.56, que introduce 6 cambios y elimina 2 vulnerabilidades asociadas a la posibilidad de realizar ataques “HTTP Request Smuggling” en sistemas front-end-back-end, permitiendo introducirse en el Contenido de las solicitudes de otros usuarios procesados en el mismo hilo entre el frontend y el backend. El ataque se puede utilizar para eludir los sistemas de restricción de acceso o insertar código JavaScript malicioso en una sesión con un sitio web legítimo.
La primera vulnerabilidad (CVE-2023-27522) afecta al módulo mod_proxy_uwsgi y permite dividir la respuesta en dos partes en el lado del proxy mediante la sustitución de caracteres especiales en el encabezado HTTP devuelto por el backend.
La segunda vulnerabilidad (CVE-2023-25690) está presente en mod_proxy y ocurre cuando se usan ciertas reglas de reescritura de solicitudes usando la directiva RewriteRule proporcionada por el módulo mod_rewrite o ciertos patrones en la directiva ProxyPassMatch. La vulnerabilidad podría provocar una solicitud a través de un proxy de recursos internos a los que no se permite acceder a través de un proxy, o al envenenamiento del contenido de la caché. Para que se manifieste la vulnerabilidad, es necesario que las reglas de reescritura de solicitudes utilicen datos de la URL, que luego se sustituyen en la solicitud que se envía posteriormente. Por ejemplo: RewriteEngine en RewriteRule “^/aquí/(.*)” » http://example.com:8080/elsewhere?$1″ http://example.com:8080/elsewhere; [P] ProxyPassReverse /aquí/ http://example.com:8080/ http://example.com:8080/
Entre los cambios no relacionados con la seguridad:
- Se agregó el indicador "-T" a la utilidad rotarlogs, que permite, al rotar registros, truncar archivos de registro posteriores sin truncar el archivo de registro inicial.
- mod_ldap permite valores negativos en la directiva LDAPConnectionPoolTTL para configurar la reutilización de cualquier conexión antigua.
- El módulo mod_md, utilizado para automatizar la recepción y el mantenimiento de certificados utilizando el protocolo ACME (Entorno de gestión automática de certificados), cuando se compila con libressl 3.5.0+, incluye soporte para el esquema de firma digital ED25519 y contabilidad de información de registro de certificados públicos (CT , Transparencia del Certificado). La directiva MDChallengeDns01 permite la definición de configuraciones para dominios individuales.
- mod_proxy_uwsgi ha reforzado la verificación y el análisis de las respuestas de los servidores HTTP.
Fuente: opennet.ru