Bolo zverejnené vydanie Apache HTTP servera 2.4.56, ktoré zavádza 6 zmien a odstraňuje 2 zraniteľnosti spojené s možnosťou vykonávania útokov „HTTP Request Smuggling“ na front-end-back-end systémy, čo umožňuje vklíniť sa do obsah požiadaviek iných používateľov spracovaných v rovnakom vlákne medzi frontendom a backendom. Útok možno použiť na obídenie systémov na obmedzenie prístupu alebo na vloženie škodlivého kódu JavaScript do relácie s legitímnou webovou stránkou.
Prvá chyba zabezpečenia (CVE-2023-27522) ovplyvňuje modul mod_proxy_uwsgi a umožňuje rozdeliť odpoveď na dve časti na strane proxy prostredníctvom nahradenia špeciálnych znakov v hlavičke HTTP vrátenej backendom.
Druhá chyba zabezpečenia (CVE-2023-25690) je prítomná v mod_proxy a vyskytuje sa pri použití určitých pravidiel prepisovania požiadaviek pomocou direktívy RewriteRule poskytovanej modulom mod_rewrite alebo určitých vzorov v direktíve ProxyPassMatch. Zraniteľnosť by mohla viesť k požiadavke cez proxy na interné zdroje, ku ktorým nie je povolený prístup cez proxy, alebo k otrave obsahu vyrovnávacej pamäte. Aby sa zraniteľnosť prejavila, je potrebné, aby pravidlá prepisovania požiadaviek využívali údaje z URL, ktoré sú potom nahradené do požiadavky, ktorá sa posiela ďalej. Napríklad: RewriteEngine na RewriteRule „^/tu/(.*)“ » http://example.com:8080/elsewhere?$1″ http://example.com:8080/elsewhere ; [P] ProxyPassReverse /tu/ http://example.com:8080/ http://example.com:8080/
Medzi zmeny, ktoré sa netýkajú bezpečnosti:
- Príznak „-T“ bol pridaný do pomôcky Rotationlogs, ktorá umožňuje pri otáčaní protokolov skrátiť nasledujúce súbory protokolu bez skrátenia počiatočného súboru protokolu.
- mod_ldap umožňuje záporným hodnotám v direktíve LDAPConnectionPoolTTL konfigurovať opätovné použitie všetkých starých pripojení.
- Modul mod_md, ktorý sa používa na automatizáciu príjmu a údržby certifikátov pomocou protokolu ACME (Automatic Certificate Management Environment), pri kompilácii s knižnicou libressl 3.5.0+, zahŕňa podporu schémy digitálneho podpisu ED25519 a účtovanie informácií z denníka verejných certifikátov (CT , Transparentnosť certifikátu). Direktíva MDChallengeDns01 umožňuje definíciu nastavení pre jednotlivé domény.
- mod_proxy_uwsgi sprísnil kontrolu a analýzu odpovedí z HTTP backendov.
Zdroj: opennet.ru