Pubblicato il rilascio del server Apache HTTP 2.4.56 che introduce 6 modifiche ed elimina 2 vulnerabilità legate alla possibilità di effettuare attacchi di tipo “HTTP Request Smuggling” sui sistemi front-end-back-end, consentendo di incunearsi contenuti delle richieste di altri utenti elaborati nello stesso thread tra frontend e backend. L'attacco può essere utilizzato per aggirare i sistemi di limitazione dell'accesso o inserire codice JavaScript dannoso in una sessione con un sito Web legittimo.
La prima vulnerabilità (CVE-2023-27522) colpisce il modulo mod_proxy_uwsgi e consente di dividere la risposta in due parti lato proxy attraverso la sostituzione di caratteri speciali nell'intestazione HTTP restituita dal backend.
La seconda vulnerabilità (CVE-2023-25690) è presente in mod_proxy e si verifica quando si utilizzano determinate regole di riscrittura delle richieste utilizzando la direttiva RewriteRule fornita dal modulo mod_rewrite o determinati modelli nella direttiva ProxyPassMatch. La vulnerabilità potrebbe portare alla richiesta tramite proxy di risorse interne, il cui accesso è vietato tramite proxy, o all'avvelenamento del contenuto della cache. Affinché la vulnerabilità si manifesti, è necessario che le regole di riscrittura della richiesta utilizzino i dati dell'URL, che vengono poi sostituiti nella richiesta che viene inviata successivamente. Ad esempio: RewriteEngine su RewriteRule “^/here/(.*)” » http://example.com:8080/elsewhere?$1″ http://example.com:8080/elsewhere ; [P] ProxyPassReverse /qui/ http://example.com:8080/ http://example.com:8080/
Tra le modifiche non legate alla sicurezza:
- Il flag "-T" è stato aggiunto all'utilità rotatelogs, che consente, durante la rotazione dei log, di troncare i file di log successivi senza troncare il file di log iniziale.
- mod_ldap consente valori negativi nella direttiva LDAPConnectionPoolTTL per configurare il riutilizzo di eventuali vecchie connessioni.
- Il modulo mod_md, utilizzato per automatizzare la ricezione e il mantenimento dei certificati utilizzando il protocollo ACME (Automatic Certificate Management Environment), se compilato con libressl 3.5.0+, include il supporto per lo schema di firma digitale ED25519 e la contabilizzazione delle informazioni del registro dei certificati pubblici (CT , Trasparenza dei certificati). La direttiva MDChallengeDns01 permette di definire le impostazioni per i singoli domini.
- mod_proxy_uwsgi ha rafforzato il controllo e l'analisi delle risposte dai backend HTTP.
Fonte: opennet.ru