Została wydana wersja Apache HTTP Server 2.4.56, która wprowadza 6 zmian i eliminuje 2 luki związane z możliwością przeprowadzania ataków „HTTP Request Smuggling” na systemy front-backend, umożliwiając włamanie się do treści żądań innych użytkowników przetwarzanych w tym samym przepływie pomiędzy front-endem i back-endem. Atak ten może posłużyć do ominięcia systemów ograniczeń dostępu lub do wstawienia złośliwego kodu JavaScript do sesji z legalną witryną.
Pierwsza luka (CVE-2023-27522) dotyczy modułu mod_proxy_uwsgi i umożliwia serwerowi proxy podzielenie odpowiedzi na dwie części poprzez zamianę znaków specjalnych w nagłówku HTTP zwróconym przez zaplecze.
Druga luka (CVE-2023-25690) występuje w mod_proxy i jest ujawniana podczas korzystania z pewnych reguł przepisywania żądań przy użyciu dyrektywy RewriteRule dostarczonej przez moduł mod_rewrite lub pewnych wzorców w dyrektywie ProxyPassMatch. Luka może prowadzić do żądania przez serwer proxy zasobów wewnętrznych, do których nie można uzyskać dostępu przez serwer proxy, lub do zatrucia pamięci podręcznej. Aby luka się ujawniła, konieczne jest, aby reguły przepisywania żądań używały danych z adresu URL, które są następnie podstawiane do żądania wysyłanego dalej. Na przykład: RewriteEngine on RewriteRule «^/here/(.*)» » http://example.com:8080/elsewhere?$1″ http://example.com:8080/elsewhere ; [P] ProxyPassReverse /tutaj/ http://example.com:8080/ http://example.com:8080/
Zmiany niezwiązane z bezpieczeństwem obejmują:
- Narzędzie rotatelogs ma flagę „-T”, która umożliwia obcinanie kolejnych plików dziennika podczas rotacji dzienników bez obcinania początkowego pliku dziennika.
- mod_ldap pozwala na określenie wartości ujemnych w dyrektywie LDAPConnectionPoolTTL w celu wymuszenia ponownego użycia starych połączeń.
- W module mod_md, używanym do automatyzacji odbioru i obsługi certyfikatów przy użyciu protokołu ACME (Automatic Certificate Management Environment), podczas kompilacji z libressl 3.5.0+, włączono obsługę schematu podpisu cyfrowego ED25519 i rozliczanie informacji z publicznego dziennika certyfikatów (CT, Certificate Transparency). Dyrektywa MDChallengeDns01 umożliwia definiowanie ustawień dla poszczególnych domen.
- W mod_proxy_uwsgi zaostrzono sprawdzanie i analizę odpowiedzi z serwerów HTTP.
Źródło: opennet.ru
