Ir publicēts Apache HTTP servera 2.4.56 laidiens, kas ievieš 6 izmaiņas un novērš 2 ievainojamības, kas saistītas ar iespēju veikt “HTTP Request Smuggling” uzbrukumus priekšgala-back-end sistēmām, ļaujot iejaukties citu lietotāju pieprasījumu saturs, kas apstrādāts tajā pašā pavedienā starp priekšgalu un aizmugursistēmu. Uzbrukumu var izmantot, lai apietu piekļuves ierobežošanas sistēmas vai ievietotu ļaunprātīgu JavaScript kodu sesijā ar likumīgu vietni.
Pirmā ievainojamība (CVE-2023-27522) ietekmē mod_proxy_uwsgi moduli un ļauj sadalīt atbildi divās daļās starpniekservera pusē, aizstājot speciālās rakstzīmes HTTP galvenē, ko atgriež aizmugursistēma.
Otrā ievainojamība (CVE-2023-25690) atrodas mod_proxy un rodas, izmantojot noteiktus pieprasījumu pārrakstīšanas noteikumus, izmantojot mod_rewrite moduļa nodrošināto direktīvu RewriteRule vai noteiktus modeļus direktīvā ProxyPassMatch. Ievainojamība var izraisīt pieprasījumu, izmantojot starpniekserveri, iekšējiem resursiem, kuriem nav atļauts piekļūt, izmantojot starpniekserveri, vai kešatmiņas satura saindēšanos. Lai ievainojamība parādītos, pieprasījuma pārrakstīšanas kārtulām ir jāizmanto dati no URL, kas pēc tam tiek aizstāti ar pieprasījumu, kas tiek nosūtīts tālāk. Piemēram: RewriteEngine par RewriteRule “^/here/(.*)” » http://example.com:8080/elsewhere?$1″ http://example.com:8080/elsewhere ; [P] ProxyPassReverse /šeit/ http://example.com:8080/ http://example.com:8080/
Ar drošību nesaistītas izmaiņas ietver:
- Rotatelogs utilītai ir pievienots karodziņš “-T”, kas ļauj, rotējot žurnālus, saīsināt nākamos žurnālfailus, nesaīsinot sākotnējo žurnāla failu.
- mod_ldap ļauj izmantot negatīvas vērtības direktīvā LDAPConnectionPoolTTL, lai konfigurētu visu veco savienojumu atkārtotu izmantošanu.
- Mod_md modulis, ko izmanto, lai automatizētu sertifikātu saņemšanu un apkopi, izmantojot ACME (automātiskās sertifikātu pārvaldības vides) protokolu, kad tas ir kompilēts ar libressl 3.5.0+, ietver atbalstu digitālā paraksta shēmai ED25519 un publisko sertifikātu žurnāla informācijas (CT) uzskaiti. , sertifikāta caurspīdīgums). MDChallengeDns01 direktīva ļauj definēt iestatījumus atsevišķiem domēniem.
- mod_proxy_uwsgi ir pastiprinājis HTTP aizmugursistēmu atbilžu pārbaudi un parsēšanu.
Avots: opennet.ru