Bol vydaný Apache HTTP Server verzie 2.4.56. Zavádza šesť zmien a opravuje dve zraniteľnosti súvisiace s možnosťou vykonávania útokov HTTP Request Smuggling na frontend-backend systémy. Tento útok umožňuje útočníkom vkladať obsah do požiadaviek iných používateľov spracovaných v rovnakom vlákne medzi frontendom a backendom. Tento útok možno použiť na obídenie systémov riadenia prístupu alebo na vloženie škodlivého kódu JavaScript do relácie s legitímnou webovou stránkou.
Prvá zraniteľnosť (CVE-2023-27522) ovplyvňuje modul mod_proxy_uwsgi a umožňuje proxy strane rozdeliť odpoveď na dve časti nahradením špeciálnych znakov v hlavičke HTTP vrátenej backendom.
Druhá zraniteľnosť (CVE-2023-25690) sa nachádza v module mod_proxy a je odhalená pri použití určitých pravidiel prepisovania požiadaviek pomocou direktívy RewriteRule poskytovanej modulom mod_rewrite alebo určitých vzorov v direktíve ProxyPassMatch. Táto zraniteľnosť môže viesť k požiadavke cez proxy na interné zdroje, ktoré nie sú cez proxy povolené, alebo k otrave vyrovnávacej pamäte. Aby sa táto zraniteľnosť prejavila, pravidlá prepisovania požiadaviek musia používať údaje z URL adresy, ktoré sa potom vložia do nasledujúcej požiadavky. Napríklad: RewriteEngine on RewriteRule "^/here/(.*)" » http://example.com:8080/elsewhere?$1" http://example.com:8080/elsewhere ; [P] ProxyPassReverse /here/ http://example.com:8080/ http://example.com:8080/
Medzi zmeny, ktoré sa netýkajú bezpečnosti, patria:
- Do nástroja rotatelogs bol pridaný príznak „-T“, ktorý umožňuje skrátiť nasledujúce súbory protokolu pri rotácii protokolov bez skrátenia pôvodného súboru protokolu.
- Mod_ldap umožňuje direktíve LDAPConnectionPoolTTL zadať záporné hodnoty, aby sa vynútilo opätovné použitie akýchkoľvek starých pripojení.
- Modul mod_md, ktorý sa používa na automatizáciu získavania a údržby certifikátov pomocou protokolu ACME (Automatic Certificate Management Environment), teraz podporuje schému digitálneho podpisu ED25519 a informácie o transparentnosti certifikátov (CT) vo verejnom protokole certifikátov pri zostavení s libressl 3.5.0+. Direktíva MDChallengeDns01 umožňuje nastavenia pre jednotlivé domény.
- V mod_proxy_uwsgi bola sprísnená validácia a parsovanie odpovedí z HTTP backendov.
Zdroj: opennet.ru
