Objavljeno je izdanje Apache HTTP poslužitelja 2.4.56, koje uvodi 6 promjena i eliminira 2 ranjivosti povezane s mogućnošću izvođenja napada "HTTP Request Smuggling" na front-end-back-end sustave, omogućujući uvlačenje u sadržaj zahtjeva drugih korisnika koji se obrađuju u istoj niti između sučelja i pozadine. Napad se može koristiti za zaobilaženje sustava za ograničavanje pristupa ili umetanje zlonamjernog JavaScript koda u sesiju s legitimnim web mjestom.
Prva ranjivost (CVE-2023-27522) utječe na modul mod_proxy_uwsgi i dopušta da se odgovor podijeli na dva dijela na proxy strani kroz zamjenu posebnih znakova u HTTP zaglavlju koje vraća pozadina.
Druga ranjivost (CVE-2023-25690) prisutna je u mod_proxy i javlja se kada se koriste određena pravila za prepisivanje zahtjeva korištenjem direktive RewriteRule koju pruža modul mod_rewrite ili određenih uzoraka u direktivi ProxyPassMatch. Ranjivost može dovesti do zahtjeva putem proxyja za interne resurse kojima nije dopušten pristup putem proxyja ili do trovanja sadržaja predmemorije. Da bi se ranjivost manifestirala, potrebno je da pravila za prepisivanje zahtjeva koriste podatke s URL-a, koji se zatim zamjenjuju u zahtjev koji se šalje dalje. Na primjer: RewriteEngine on RewriteRule “^/here/(.*)” » http://example.com:8080/elsewhere?$1″ http://example.com:8080/elsewhere ; [P] ProxyPassReverse /ovdje/ http://example.com:8080/ http://example.com:8080/
Među promjenama koje nisu sigurnosne:
- Oznaka “-T” dodana je uslužnom programu rotatelogs, koji omogućuje, prilikom rotiranja zapisa, skraćivanje sljedećih datoteka dnevnika bez skraćivanja početne datoteke dnevnika.
- mod_ldap dopušta negativne vrijednosti u direktivi LDAPConnectionPoolTTL za konfiguriranje ponovne upotrebe svih starih veza.
- Modul mod_md, koji se koristi za automatiziranje primanja i održavanja certifikata korištenjem ACME (Automatic Certificate Management Environment) protokola, kada je kompajliran s libressl 3.5.0+, uključuje podršku za shemu digitalnog potpisa ED25519 i vođenje evidencije javnih certifikata (CT , Transparentnost certifikata). Direktiva MDChallengeDns01 omogućuje definiranje postavki za pojedinačne domene.
- mod_proxy_uwsgi je pooštrio provjeru i raščlanjivanje odgovora s HTTP pozadine.
Izvor: opennet.ru