Avaldatud on Apache HTTP-serveri versioon 2.4.56, mis sisaldab 6 muudatust ja kõrvaldab 2 haavatavust, mis on seotud võimalusega sooritada HTTP Request Smuggling rünnakuid esiotsa-tagaotsa süsteemides, võimaldades meil end kiiluda teiste kasutajate päringute sisusse, mida töödeldakse samas lõimes esi- ja taustaprogrammi vahel. Rünnakut saab kasutada juurdepääsupiirangusüsteemidest möödahiilimiseks või pahatahtliku JavaScripti koodi sisestamiseks legitiimse veebisaidiga seansse.
Esimene haavatavus (CVE-2023-27522) mõjutab moodulit mod_proxy_uwsgi ja võimaldab vastuse puhverserveri poolel kaheks osaks jagada, asendades erisümbolid HTTP-päises, mille tagaprogramm tagastab.
Teine haavatavus (CVE-2023-25690) esineb failis mod_proxy ja see ilmneb teatud päringu ümberkirjutamise reeglite kasutamisel, kasutades mooduli mod_rewrite direktiivi RewriteRule või teatud mustreid direktiivis ProxyPassMatch. Haavatavus võib viia sisemiste ressursside puhverserveri kaudu, millele juurdepääs on puhverserveri kaudu keelatud, või vahemälu sisu mürgitamiseni. Haavatavuse ilmnemiseks on vajalik, et taotluse ümberkirjutamise reeglid kasutaksid URL-i andmeid, mis seejärel asendatakse edasi saadetava päringuga. Näiteks: RewriteEngine on RewriteRule “^/here/(.*)” » http://example.com:8080/elsewhere?$1″ http://example.com:8080/elsewhere ; [P] ProxyPassReverse /siin/ http://example.com:8080/ http://example.com:8080/
Turvalisusega mitteseotud muudatuste hulgas:
- Utiliidi rotatelogs on lisatud lipp “-T”, mis võimaldab logide pööramisel kärpida järgnevaid logifaile ilma algset logifaili kärpimata.
- mod_ldap võimaldab LDAPConnectionPoolTTL direktiivi negatiivsetel väärtustel konfigureerida vanade ühenduste taaskasutamist.
- Moodul mod_md, mida kasutatakse sertifikaatide vastuvõtmise ja hoolduse automatiseerimiseks protokolli ACME (Automatic Certificate Management Environment) kasutades, kui see on koostatud versiooniga libressl 3.5.0+, sisaldab tuge digitaalallkirjastamise skeemile ED25519 ja avaliku sertifikaadi logi teabe (CT) arvestamisele , sertifikaadi läbipaistvus). Direktiiv MDChallengeDns01 võimaldab määrata üksikute domeenide sätted.
- mod_proxy_uwsgi on karmistanud HTTP-taustaprogrammide vastuste kontrollimist ja sõelumist.
Allikas: opennet.ru