Опубліковано реліз HTTP-сервера Apache 2.4.56, в якому представлено 6 змін і усунено 2 вразливості, пов'язані з можливістю проведення атак класу «HTTP Request Smuggling» на системи фронтенд-бекенд, що дозволяють вклинюватися у вміст запитів інших користувачів, що обробляються у тому ж потоці. між фронтендом та бекендом. Атака може бути використана для обходу систем обмеження доступу або встановлення шкідливого JavaScript-коду в сеанс з легітимним сайтом.
Перша вразливість (CVE-2023-27522) зачіпає модуль mod_proxy_uwsgi і дозволяє на стороні проксі розділити відповідь на дві частини через підстановку спеціальних символів у HTTP-заголовку, що повертається бекендом.
Друга вразливість (CVE-2023-25690) присутня в mod_proxy і виявляється при використанні деяких правил перезапису запитів за допомогою директиви RewriteRule, що надається модулем mod_rewrite, або певних шаблонів у директиві ProxyPassMatch. Вразливість може призвести до запиту через проксі внутрішніх ресурсів, доступ до яких заборонено через проксі, або до отруєння вмісту кешу. Для прояву вразливості необхідно, щоб у правилах перезапису запиту використовувалися дані з URL, які потім підставлялися в запит, що відправляється далі. Наприклад: RewriteEngine on RewriteRule "^/here/(.*)" » http://example.com:8080/elsewhere?$1″ http://example.com:8080/elsewhere ; [P] ProxyPassReverse /here/ http://example.com:8080/ http://example.com:8080/
Серед змін, які не пов'язані з безпекою:
- В утиліту rotatelogs доданий прапор «-T», що дозволяє при ротації логів виконувати усічення наступних лог-файлів без усічення початкового лог-файлу.
- У mod_ldap дозволено вказівку в директиві LDAPConnectionPoolTTL негативних значень для налаштування повторного використання будь-яких старих з'єднань.
- У модулі mod_md, який застосовується для автоматизації отримання та обслуговування сертифікатів з використанням протоколу ACME (Automatic Certificate Management Environment), при складанні з libressl 3.5.0+ включена підтримка схеми цифрового підпису ED25519 та обліку інформації публічного лога сертифікатів (CT, Cert). У директиві MDChallengeDns01 можна визначити налаштування для окремих доменів.
- У mod_proxy_uwsgi посилена перевірка та розбір відповідей від HTTP-бекендів.
Джерело: opennet.ru