Útgáfa af Apache HTTP þjóninum 2.4.56 hefur verið gefin út, sem kynnir 6 breytingar og eyðir 2 veikleikum sem tengjast möguleikanum á að framkvæma „HTTP Request Smuggling“ árásir á framenda-bakendakerfi, sem gerir kleift að fleygjast inn í innihald beiðna annarra notenda sem unnið er í sama þræði milli framenda og bakenda. Árásina er hægt að nota til að komast framhjá aðgangstakmörkunarkerfum eða setja skaðlegan JavaScript kóða inn í fund með lögmætri vefsíðu.
Fyrsta varnarleysið (CVE-2023-27522) hefur áhrif á mod_proxy_uwsgi eininguna og gerir kleift að skipta svarinu í tvo hluta á proxy-hliðinni með því að skipta út sértáknum í HTTP hausnum sem bakendinn skilar.
Annað varnarleysið (CVE-2023-25690) er til staðar í mod_proxy og á sér stað þegar notaðar eru ákveðnar endurskrifunarreglur um beiðnir með því að nota RewriteRule tilskipunina sem mod_rewrite einingin býður upp á eða ákveðin mynstur í ProxyPassMatch tilskipuninni. Varnarleysið gæti leitt til beiðni í gegnum umboð um innri auðlindir sem ekki er leyfilegt að nálgast í gegnum umboð eða til eitrunar á innihaldi skyndiminni. Til að varnarleysið komi fram er nauðsynlegt að umritunarreglur beiðninnar noti gögn frá vefslóðinni, sem síðan er sett inn í beiðnina sem er send áfram. Til dæmis: RewriteEngine á RewriteRule “^/here/(.*)” » http://example.com:8080/elsewhere?$1″ http://example.com:8080/elsewhere ; [P] ProxyPassReverse /hér/ http://example.com:8080/ http://example.com:8080/
Breytingar sem ekki tengjast öryggi fela í sér:
- „-T“ fánanum hefur verið bætt við rotatelogs tólið, sem gerir kleift, þegar annálum er snúið, að stytta síðari annálaskrár án þess að stytta upphafsskrána.
- mod_ldap leyfir neikvæðum gildum í LDAPConnectionPoolTTL tilskipuninni til að stilla endurnotkun á gömlum tengingum.
- Mod_md einingin, notuð til að gera sjálfvirkan móttöku og viðhald vottorða með því að nota ACME (Automatic Certificate Management Environment) samskiptareglur, þegar hún er unnin með libressl 3.5.0+, inniheldur stuðning fyrir ED25519 stafræna undirskriftarkerfi og reikningsskil fyrir opinberar vottorðsskrárupplýsingar (CT). , Gagnsæi skírteina). MDChallengeDns01 tilskipunin gerir kleift að skilgreina stillingar fyrir einstök lén.
- mod_proxy_uwsgi hefur hert á athugun og þáttun svara frá HTTP bakenda.
Heimild: opennet.ru