La version 2.4.56 du serveur HTTP Apache a été publiée, qui introduit 6 changements et élimine 2 vulnérabilités associées à la possibilité de réaliser des attaques « HTTP Request Smuggling » sur les systèmes front-end-back-end, permettant de se faufiler dans le contenu des demandes des autres utilisateurs traitées dans le même thread entre le frontend et le backend. L'attaque peut être utilisée pour contourner les systèmes de restriction d'accès ou pour insérer du code JavaScript malveillant dans une session avec un site Web légitime.
La première vulnérabilité (CVE-2023-27522) affecte le module mod_proxy_uwsgi et permet de diviser la réponse en deux parties côté proxy via la substitution de caractères spéciaux dans l'en-tête HTTP renvoyé par le backend.
La deuxième vulnérabilité (CVE-2023-25690) est présente dans mod_proxy et se produit lors de l'utilisation de certaines règles de réécriture de requêtes à l'aide de la directive RewriteRule fournie par le module mod_rewrite, ou de certains modèles de la directive ProxyPassMatch. La vulnérabilité pourrait conduire à une requête via un proxy de ressources internes dont l'accès est interdit via un proxy, ou à un empoisonnement du contenu du cache. Pour que la vulnérabilité se manifeste, il est nécessaire que les règles de réécriture de la demande utilisent les données de l'URL, qui sont ensuite remplacées dans la demande qui est ensuite envoyée. Par exemple : RewriteEngine sur RewriteRule « ^/here/(.*) » » http://example.com:8080/elsewhere?$1″ http://example.com:8080/elsewhere ; [P] ProxyPassReverse /ici/ http://example.com:8080/ http://example.com:8080/
Parmi les changements non liés à la sécurité :
- L'indicateur « -T » a été ajouté à l'utilitaire rotatelogs, qui permet, lors de la rotation des journaux, de tronquer les fichiers journaux suivants sans tronquer le fichier journal initial.
- mod_ldap autorise les valeurs négatives dans la directive LDAPConnectionPoolTTL pour configurer la réutilisation de toutes les anciennes connexions.
- Le module mod_md, utilisé pour automatiser la réception et la maintenance des certificats à l'aide du protocole ACME (Automatic Certificate Management Environment), lorsqu'il est compilé avec libressl 3.5.0+, inclut la prise en charge du schéma de signature numérique ED25519 et la comptabilisation des informations du journal de certificat public (CT , Transparence du certificat). La directive MDChallengeDns01 permet la définition de paramètres pour des domaines individuels.
- mod_proxy_uwsgi a renforcé la vérification et l'analyse des réponses des backends HTTP.
Source: opennet.ru