Apache HTTP-palvelimen versio 2.4.56 on julkaistu, joka sisältää 6 muutosta ja poistaa 2 haavoittuvuutta, jotka liittyvät mahdollisuuteen suorittaa "HTTP Request Smuggling" -hyökkäyksiä front-end-back-end -järjestelmissä, mikä mahdollistaa kiilaamisen muiden käyttäjien pyyntöjen sisältö käsiteltynä samassa säikeessä käyttöliittymän ja taustajärjestelmän välillä. Hyökkäyksen avulla voidaan ohittaa pääsynrajoitusjärjestelmät tai lisätä haitallista JavaScript-koodia istuntoon laillisen verkkosivuston kanssa.
Ensimmäinen haavoittuvuus (CVE-2023-27522) vaikuttaa mod_proxy_uwsgi-moduuliin ja sallii vastauksen jakamisen kahteen osaan välityspalvelimen puolella korvaamalla erikoismerkit taustajärjestelmän palauttamassa HTTP-otsikossa.
Toinen haavoittuvuus (CVE-2023-25690) on mod_proxyssa, ja se ilmenee käytettäessä tiettyjä pyyntöjen uudelleenkirjoitussääntöjä käyttäen mod_rewrite-moduulin tarjoamaa RewriteRule-direktiiviä tai tiettyjä ProxyPassMatch-direktiivin malleja. Haavoittuvuus voi johtaa välityspalvelimen kautta tehtävään pyyntöön sisäisistä resursseista, joita ei saa käyttää välityspalvelimen kautta, tai välimuistin sisällön myrkytykseen. Haavoittuvuuden ilmenemiseksi on välttämätöntä, että pyynnön uudelleenkirjoitussäännöt käyttävät URL-osoitteen tietoja, jotka sitten korvataan edelleen lähetettäväksi pyynnöksi. Esimerkki: RewriteEngine on RewriteRule “^/here/(.*)” » http://example.com:8080/elsewhere?$1″ http://example.com:8080/elsewhere ; [P] ProxyPassReverse /täällä/ http://example.com:8080/ http://example.com:8080/
Turvallisuuteen liittymättömistä muutoksista:
- "-T"-lippu on lisätty rotatelogs-apuohjelmaan, jonka avulla lokeja pyöritettäessä voidaan katkaista myöhemmät lokitiedostot katkaisematta alkuperäistä lokitiedostoa.
- mod_ldap sallii LDAPConnectionPoolTTL-direktiivin negatiivisten arvojen määrittää vanhojen yhteyksien uudelleenkäytön.
- Moduuli mod_md, jota käytetään automatisoimaan varmenteiden vastaanottoa ja ylläpitoa ACME (Automatic Certificate Management Environment) -protokollalla, kun se on käännetty libressl 3.5.0+ -versiolla, sisältää tuen digitaaliselle allekirjoitusjärjestelmälle ED25519 ja julkisten sertifikaattien lokitietojen (CT) huomioimisen , sertifikaatin läpinäkyvyys). MDChallengeDns01-direktiivi sallii asetusten määrittämisen yksittäisille toimialueille.
- mod_proxy_uwsgi on tiukentanut HTTP-taustaohjelmien vastausten tarkistusta ja jäsentämistä.
Lähde: opennet.ru