Utgivningen av Apache HTTP-servern 2.4.56 har publicerats, som introducerar 6 ändringar och eliminerar 2 sårbarheter förknippade med möjligheten att utföra "HTTP Request Smuggling"-attacker på front-end-back-end-system, vilket gör det möjligt att kila in i innehållet i andra användares förfrågningar som behandlas i samma tråd mellan frontend och backend. Attacken kan användas för att kringgå åtkomstbegränsningssystem eller infoga skadlig JavaScript-kod i en session med en legitim webbplats.
Den första sårbarheten (CVE-2023-27522) påverkar mod_proxy_uwsgi-modulen och tillåter att svaret delas upp i två delar på proxysidan genom att specialtecken ersätts i HTTP-huvudet som returneras av backend.
Den andra sårbarheten (CVE-2023-25690) finns i mod_proxy och uppstår när man använder vissa regler för omskrivning av begäran med hjälp av RewriteRule-direktivet som tillhandahålls av mod_rewrite-modulen eller vissa mönster i ProxyPassMatch-direktivet. Sårbarheten kan leda till en begäran via en proxy för interna resurser som inte är tillåtna att nås via en proxy, eller till förgiftning av cacheinnehåll. För att sårbarheten ska manifesteras är det nödvändigt att reglerna för omskrivning av begäran använder data från URL:en, som sedan ersätts med begäran som skickas vidare. Till exempel: RewriteEngine på RewriteRule “^/här/(.*)” » http://example.com:8080/annanstans?$1″ http://example.com:8080/annanstans ; [P] ProxyPassReverse /här/ http://example.com:8080/ http://example.com:8080/
Bland de icke-säkerhetsmässiga förändringarna:
- "-T"-flaggan har lagts till i rotatelogs-verktyget, vilket gör det möjligt att, när loggar roteras, trunkera efterföljande loggfiler utan att trunkera den initiala loggfilen.
- mod_ldap tillåter negativa värden i LDAPConnectionPoolTTL-direktivet för att konfigurera återanvändning av alla gamla anslutningar.
- Mod_md-modulen, som används för att automatisera mottagande och underhåll av certifikat med hjälp av ACME-protokollet (Automatic Certificate Management Environment), när den kompileras med libressl 3.5.0+, inkluderar stöd för ED25519 digitala signaturschema och redovisning av offentlig certifikatlogginformation (CT) , certifikattransparens). MDChallengeDns01-direktivet tillåter definition av inställningar för enskilda domäner.
- mod_proxy_uwsgi har skärpt kontrollen och analysen av svar från HTTP-backends.
Källa: opennet.ru