De release van de Apache HTTP-server 2.4.56 is gepubliceerd, die 6 wijzigingen introduceert en 2 kwetsbaarheden elimineert die verband houden met de mogelijkheid om “HTTP Request Smokkel”-aanvallen uit te voeren op front-end-back-end-systemen, waardoor het mogelijk wordt om in de inhoud van verzoeken van andere gebruikers verwerkt in dezelfde thread tussen frontend en backend. De aanval kan worden gebruikt om toegangsbeperkingssystemen te omzeilen of om kwaadaardige JavaScript-code in een sessie met een legitieme website in te voegen.
De eerste kwetsbaarheid (CVE-2023-27522) treft de mod_proxy_uwsgi-module en maakt het mogelijk dat het antwoord in twee delen wordt gesplitst aan de proxyzijde door de vervanging van speciale tekens in de HTTP-header die door de backend wordt geretourneerd.
De tweede kwetsbaarheid (CVE-2023-25690) is aanwezig in mod_proxy en treedt op bij het gebruik van bepaalde regels voor het herschrijven van verzoeken met behulp van de RewriteRule-instructie geleverd door de mod_rewrite-module of bepaalde patronen in de ProxyPassMatch-instructie. Het beveiligingslek kan leiden tot een verzoek via een proxy om interne bronnen, waartoe de toegang via een proxy verboden is, of tot vergiftiging van de cache-inhoud. Om de kwetsbaarheid te manifesteren, is het noodzakelijk dat de regels voor het herschrijven van verzoeken gebruik maken van gegevens uit de URL, die vervolgens worden vervangen door het verzoek dat verder wordt verzonden. Bijvoorbeeld: RewriteEngine op RewriteRule “^/here/(.*)” » http://example.com:8080/elsewhere?$1″ http://example.com:8080/elsewhere ; [P] ProxyPassReverse /hier/ http://example.com:8080/ http://example.com:8080/
Onder de niet-beveiligingswijzigingen:
- De vlag “-T” is toegevoegd aan het rotatielogs-hulpprogramma, waarmee u bij het roteren van logs de volgende logbestanden kunt afkappen zonder het oorspronkelijke logbestand af te korten.
- mod_ldap staat negatieve waarden toe in de LDAPConnectionPoolTTL-richtlijn om het hergebruik van oude verbindingen te configureren.
- De mod_md-module, die wordt gebruikt om de ontvangst en het onderhoud van certificaten te automatiseren met behulp van het ACME-protocol (Automatic Certificate Management Environment), bevat, wanneer gecompileerd met libressl 3.5.0+, ondersteuning voor het ED25519-schema voor digitale handtekeningen en het bijhouden van openbare certificaatloginformatie (CT , Certificaattransparantie). De MDChallengeDns01-richtlijn maakt het definiëren van instellingen voor individuele domeinen mogelijk.
- mod_proxy_uwsgi heeft het controleren en parseren van reacties van HTTP-backends aangescherpt.
Bron: opennet.ru