Utgivelsen av Apache HTTP-serveren 2.4.56 har blitt publisert, som introduserer 6 endringer og eliminerer 2 sårbarheter knyttet til muligheten for å utføre "HTTP Request Smuggling"-angrep på front-end-back-end-systemer, slik at vi kan kile oss selv. inn i innholdet i andre brukeres forespørsler behandlet i samme tråd mellom frontend og backend. Angrepet kan brukes til å omgå tilgangsbegrensningssystemer eller sette inn ondsinnet JavaScript-kode i en økt med et legitimt nettsted.
Den første sårbarheten (CVE-2023-27522) påvirker mod_proxy_uwsgi-modulen og lar svaret deles i to deler på proxy-siden ved å erstatte spesialtegn i HTTP-headeren som returneres av backend.
Den andre sårbarheten (CVE-2023-25690) er tilstede i mod_proxy og oppstår når du bruker visse regler for omskrivning av forespørsel ved å bruke RewriteRule-direktivet gitt av mod_rewrite-modulen, eller visse mønstre i ProxyPassMatch-direktivet. Sårbarheten kan føre til en forespørsel via en proxy for interne ressurser, tilgang til denne er forbudt via en proxy, eller til forgiftning av cache-innhold. For at sårbarheten skal manifestere seg, er det nødvendig at reglene for omskriving av forespørselen bruker data fra URL-en, som deretter erstattes med forespørselen som sendes videre. For eksempel: RewriteEngine på RewriteRule “^/here/(.*)” » http://example.com:8080/elsewhere?$1″ http://example.com:8080/elsewhere ; [P] ProxyPassReverse /her/ http://example.com:8080/ http://example.com:8080/
Blant ikke-sikkerhetsendringene:
- "-T"-flagget er lagt til rotatelogs-verktøyet, som gjør det mulig, når du roterer logger, å avkorte påfølgende loggfiler uten å avkorte den første loggfilen.
- mod_ldap tillater negative verdier i LDAPConnectionPoolTTL-direktivet for å konfigurere gjenbruk av alle gamle tilkoblinger.
- Mod_md-modulen, som brukes til å automatisere mottak og vedlikehold av sertifikater ved bruk av ACME (Automatic Certificate Management Environment)-protokollen, når den er kompilert med libressl 3.5.0+, inkluderer støtte for ED25519 digital signaturskjema og regnskap for offentlig sertifikatlogginformasjon (CT) , sertifikatgjennomsiktighet). MDChallengeDns01-direktivet tillater definisjon av innstillinger for individuelle domener.
- mod_proxy_uwsgi har strammet inn kontrollen og analyseringen av svar fra HTTP-backends.
Kilde: opennet.ru