Është publikuar lëshimi i serverit Apache HTTP 2.4.56, i cili prezanton 6 ndryshime dhe eliminon 2 dobësi të lidhura me mundësinë e kryerjes së sulmeve "HTTP Request Kontrabandë" në sistemet front-end-back-end, duke lejuar futjen në përmbajtjet e kërkesave të përdoruesve të tjerë të përpunuara në të njëjtën lidhje midis frontend dhe backend. Sulmi mund të përdoret për të anashkaluar sistemet e kufizimit të aksesit ose për të futur kodin keqdashës JavaScript në një seancë me një faqe interneti të ligjshme.
Dobësia e parë (CVE-2023-27522) ndikon në modulin mod_proxy_uwsgi dhe lejon që përgjigja të ndahet në dy pjesë në anën e përfaqësuesit përmes zëvendësimit të karaktereve speciale në kokën HTTP të kthyer nga backend.
Dobësia e dytë (CVE-2023-25690) është e pranishme në mod_proxy dhe ndodh kur përdoren rregulla të caktuara të rishkrimit të kërkesave duke përdorur direktivën RewriteRule të ofruar nga moduli mod_rewrite ose modele të caktuara në direktivën ProxyPassMatch. Dobësia mund të çojë në një kërkesë përmes një përfaqësuesi për burime të brendshme që nuk lejohen të aksesohen përmes një përfaqësuesi, ose në helmim të përmbajtjes së memories. Që dobësia të shfaqet, është e nevojshme që rregullat e rishkrimit të kërkesës të përdorin të dhëna nga URL-ja, e cila më pas zëvendësohet në kërkesën që dërgohet më tej. Për shembull: RewriteEngine në RewriteRule “^/here/(.*)” » http://example.com:8080/elsewhere?$1″ http://example.com:8080/elsewhere ; [P] ProxyPassReverse /këtu/ http://example.com:8080/ http://example.com:8080/
Ndër ndryshimet jo të sigurisë:
- Flamuri "-T" është shtuar në programin rotatelogs, i cili lejon, kur rrotullohen regjistrat, të shkurtohen skedarët e mëpasshëm të regjistrit pa shkurtuar skedarin fillestar të regjistrit.
- mod_ldap lejon vlera negative në direktivën LDAPConnectionPoolTTL për të konfiguruar ripërdorimin e çdo lidhjeje të vjetër.
- Moduli mod_md, i përdorur për të automatizuar marrjen dhe mirëmbajtjen e certifikatave duke përdorur protokollin ACME (Automatic Certificate Management Environment), kur përpilohet me libressl 3.5.0+, përfshin mbështetjen për skemën e nënshkrimit dixhital ED25519 dhe llogaritjen e informacionit të regjistrit të certifikatës publike (CT , Certifikata Transparenca). Direktiva MDChallengeDns01 lejon përcaktimin e cilësimeve për domenet individuale.
- mod_proxy_uwsgi ka forcuar kontrollin dhe analizimin e përgjigjeve nga mbështetësit HTTP.
Burimi: opennet.ru