การเปิดตัวเซิร์ฟเวอร์ Apache HTTP 2.4.56 ได้รับการเผยแพร่แล้ว ซึ่งแนะนำการเปลี่ยนแปลง 6 รายการและกำจัดช่องโหว่ 2 รายการที่เกี่ยวข้องกับความเป็นไปได้ในการดำเนินการโจมตี "HTTP Request Smuggling" บนระบบ front-end-back-end ทำให้สามารถแทรกเข้าไปใน เนื้อหาของคำขอของผู้ใช้รายอื่นที่ประมวลผลในชุดข้อความเดียวกันระหว่างส่วนหน้าและส่วนหลัง การโจมตีสามารถใช้เพื่อเลี่ยงระบบจำกัดการเข้าถึงหรือแทรกโค้ด JavaScript ที่เป็นอันตรายลงในเซสชันกับเว็บไซต์ที่ถูกกฎหมาย
ช่องโหว่แรก (CVE-2023-27522) ส่งผลกระทบต่อโมดูล mod_proxy_uwsgi และอนุญาตให้การตอบสนองถูกแบ่งออกเป็นสองส่วนที่ฝั่งพร็อกซีผ่านการแทนที่อักขระพิเศษในส่วนหัว HTTP ที่ส่งคืนโดยแบ็กเอนด์
ช่องโหว่ที่สอง (CVE-2023-25690) มีอยู่ใน mod_proxy และเกิดขึ้นเมื่อใช้กฎการเขียนคำขอใหม่โดยใช้คำสั่ง RewriteRule ที่ได้รับจากโมดูล mod_rewrite หรือรูปแบบบางอย่างในคำสั่ง ProxyPassMatch ช่องโหว่อาจนำไปสู่การร้องขอทรัพยากรภายในผ่านพร็อกซี การเข้าถึงซึ่งถูกห้ามผ่านพร็อกซี หรืออาจทำให้เนื้อหาแคชเสียหาย เพื่อให้แสดงช่องโหว่ได้ จำเป็นที่กฎการเขียนคำขอใหม่จะใช้ข้อมูลจาก URL ซึ่งจะถูกแทนที่ในคำขอที่ส่งต่อไป ตัวอย่างเช่น: RewriteEngine บน RewriteRule “^/here/(.*)” » http://example.com:8080/elsewhere?$1″ http://example.com:8080/elsewhere ; [P] ProxyPassReverse /ที่นี่/ http://example.com:8080/ http://example.com:8080/
ท่ามกลางการเปลี่ยนแปลงที่ไม่เกี่ยวกับความปลอดภัย:
- มีการเพิ่มแฟล็ก “-T” ลงในยูทิลิตี้ Rotatelogs ซึ่งช่วยให้เมื่อทำการหมุนเวียนบันทึก สามารถตัดทอนไฟล์บันทึกที่ตามมาโดยไม่ต้องตัดทอนไฟล์บันทึกเริ่มต้น
- mod_ldap อนุญาตให้ใช้ค่าลบในคำสั่ง LDAPConnectionPoolTTL เพื่อกำหนดค่าการนำการเชื่อมต่อเก่าๆ มาใช้ซ้ำ
- โมดูล mod_md ใช้ในการรับและบำรุงรักษาใบรับรองโดยอัตโนมัติโดยใช้โปรโตคอล ACME (สภาพแวดล้อมการจัดการใบรับรองอัตโนมัติ) เมื่อคอมไพล์ด้วย libressl 3.5.0+ รวมถึงการรองรับแผนลายเซ็นดิจิทัล ED25519 และการบัญชีสำหรับข้อมูลบันทึกใบรับรองสาธารณะ (CT , ความโปร่งใสของใบรับรอง) คำสั่ง MDChallengeDns01 อนุญาตให้กำหนดการตั้งค่าสำหรับแต่ละโดเมน
- mod_proxy_uwsgi ได้เพิ่มความเข้มงวดในการตรวจสอบและแยกวิเคราะห์การตอบสนองจากแบ็กเอนด์ HTTP
ที่มา: opennet.ru