Ang paglabas ng Apache HTTP server 2.4.56 ay nai-publish, na nagpapakilala ng 6 na pagbabago at nag-aalis ng 2 mga kahinaan na nauugnay sa posibilidad ng pagsasagawa ng mga pag-atake ng "HTTP Request Smuggling" sa mga front-end-back-end na system, na nagbibigay-daan sa pag-wedge sa nilalaman ng mga kahilingan ng ibang mga user na naproseso sa parehong thread sa pagitan ng frontend at backend. Maaaring gamitin ang pag-atake upang i-bypass ang mga sistema ng paghihigpit sa pag-access o ipasok ang malisyosong JavaScript code sa isang session na may lehitimong website.
Ang unang kahinaan (CVE-2023-27522) ay nakakaapekto sa mod_proxy_uwsgi module at pinapayagan ang tugon na hatiin sa dalawang bahagi sa gilid ng proxy sa pamamagitan ng pagpapalit ng mga espesyal na character sa HTTP header na ibinalik ng backend.
Ang pangalawang kahinaan (CVE-2023-25690) ay nasa mod_proxy at nangyayari kapag gumagamit ng ilang partikular na kahilingan sa muling pagsulat ng mga panuntunan gamit ang RewriteRule na direktiba na ibinigay ng mod_rewrite module o ilang partikular na pattern sa ProxyPassMatch directive. Ang kahinaan ay maaaring humantong sa isang kahilingan sa pamamagitan ng isang proxy para sa mga panloob na mapagkukunan na hindi pinapayagang ma-access sa pamamagitan ng isang proxy, o sa pagkalason sa mga nilalaman ng cache. Upang mahayag ang kahinaan, kinakailangan na ang mga panuntunan sa muling pagsulat ng kahilingan ay gumamit ng data mula sa URL, na pagkatapos ay papalitan sa kahilingang ipapadala pa. Halimbawa: RewriteEngine sa RewriteRule β^/here/(.*)β Β» http://example.com:8080/elsewhere?$1β³ http://example.com:8080/elsewhere ; [P] ProxyPassReverse /dito/ http://example.com:8080/ http://example.com:8080/
Ang mga pagbabagong hindi pangseguridad ay kinabibilangan ng:
- Ang flag na "-T" ay naidagdag sa rotatelogs utility, na nagbibigay-daan, kapag umiikot ang mga log, na putulin ang mga kasunod na log file nang hindi pinuputol ang unang log file.
- Pinapayagan ng mod_ldap ang mga negatibong halaga sa direktiba ng LDAPConnectionPoolTTL na i-configure ang muling paggamit ng anumang lumang koneksyon.
- Ang mod_md module, na ginamit upang i-automate ang pagtanggap at pagpapanatili ng mga certificate gamit ang ACME (Automatic Certificate Management Environment) protocol, kapag pinagsama-sama sa libressl 3.5.0+, ay may kasamang suporta para sa ED25519 digital signature scheme at accounting para sa pampublikong impormasyon ng log ng certificate (CT). , Certificate Transparency). Ang direktiba ng MDChallengeDns01 ay nagbibigay-daan sa kahulugan ng mga setting para sa mga indibidwal na domain.
- Hinigpitan ng mod_proxy_uwsgi ang pagsuri at pag-parse ng mga tugon mula sa mga backend ng HTTP.
Pinagmulan: opennet.ru