Opublikowano wydanie Apache 2.4.56 HTTP server, które wprowadza 6 zmian i naprawia 2 luki związane z możliwością przeprowadzania ataków HTTP Request Smuggling na systemy front-end-backend, które pozwalają nam wcisnąć się w treść żądań od innych użytkowników przetwarzane w tym samym wątku między frontendem a backendem. Atak może zostać wykorzystany do ominięcia systemów kontroli dostępu lub wstrzyknięcia złośliwego kodu JavaScript do sesji z legalną witryną.
Pierwsza luka (CVE-2023-27522) dotyczy modułu mod_proxy_uwsgi i umożliwia serwerowi proxy podzielenie odpowiedzi na dwie części poprzez zastąpienie znaków specjalnych w nagłówku HTTP zwracanym przez backend.
Druga luka (CVE-2023-25690) występuje w mod_proxy i objawia się, gdy niektóre reguły przepisywania żądań są używane przy użyciu dyrektywy RewriteRule dostarczanej przez moduł mod_rewrite lub pewnych wzorców w dyrektywie ProxyPassMatch. Luka może spowodować, że serwer proxy zażąda zasobów wewnętrznych, które nie są dostępne za pośrednictwem serwera proxy, lub zatruje zawartość pamięci podręcznej. Aby podatność się ujawniła, konieczne jest, aby dane z adresu URL zostały wykorzystane w regułach przepisywania żądania, które następnie są podstawione w żądaniu przesyłanym dalej. Na przykład: RewriteEngine on RewriteRule "^/here/(.*)" » http://example.com:8080/elsewhere?$1″ http://example.com:8080/elsewhere ; [P] ProxyPassReverse /tutaj/ http://example.com:8080/ http://example.com:8080/
Zmiany niezwiązane z zabezpieczeniami obejmują:
- Do narzędzia rotacji dzienników dodano flagę „-T”, która umożliwia obcinanie kolejnych plików dziennika podczas obracania dzienników bez obcinania początkowego pliku dziennika.
- Mod_ldap dopuszcza wartości ujemne w dyrektywie LDAPConnectionPoolTTL, aby skonfigurować ponowne użycie wszelkich starych połączeń.
- W module mod_md, służącym do automatyzacji otrzymywania i utrzymywania certyfikatów z wykorzystaniem protokołu ACME (Automatic Certificate Management Environment), zbudowanym z libressl 3.5.0+, obsługa schematu podpisu cyfrowego ED25519 oraz uwzględnianie informacji w dzienniku publicznym certyfikaty (CT, Certificate Transparency) są dołączone. Dyrektywa MDChallengeDns01 umożliwia definiowanie ustawień dla poszczególnych domen.
- mod_proxy_uwsgi zaostrzył sprawdzanie i analizowanie odpowiedzi z backendów HTTP.
Źródło: opennet.ru