Apache HTTP 服务器 2.4.56 版本已经发布,引入了 6 个更改并消除了 2 个与对前后端系统进行“HTTP 请求走私”攻击的可能性相关的漏洞,从而允许侵入前端和后端之间在同一线程中处理其他用户请求的内容。 该攻击可用于绕过访问限制系统或将恶意 JavaScript 代码插入到与合法网站的会话中。
第一个漏洞 (CVE-2023-27522) 影响 mod_proxy_uwsgi 模块,并允许通过替换后端返回的 HTTP 标头中的特殊字符,在代理端将响应分为两部分。
第二个漏洞 (CVE-2023-25690) 存在于 mod_proxy 中,当使用 mod_rewrite 模块提供的 RewriteRule 指令或 ProxyPassMatch 指令中的某些模式使用某些请求重写规则时,会发生该漏洞。 该漏洞可能导致通过代理请求不允许通过代理访问的内部资源,或者导致缓存内容中毒。 为了使漏洞显现出来,请求重写规则必须使用 URL 中的数据,然后将其替换到进一步发送的请求中。 例如: RewriteRule 上的 RewriteEngine “^/here/(.*)” » http://example.com:8080/elsewhere?$1″ http://example.com:8080/elsewhere ; [P] ProxyPassReverse /此处/ http://example.com:8080/ http://example.com:8080/
非安全变更包括:
- “-T”标志已添加到rotatelogs实用程序中,该实用程序允许在轮换日志时截断后续日志文件而不截断初始日志文件。
- mod_ldap 允许 LDAPConnectionPoolTTL 指令中的负值来配置任何旧连接的重用。
- mod_md 模块用于使用 ACME(自动证书管理环境)协议自动接收和维护证书,当使用 libressl 3.5.0+ 编译时,包括对 ED25519 数字签名方案的支持以及公共证书日志信息(CT)的支持,证书透明度)。 MDChallengeDns01 指令允许定义各个域的设置。
- mod_proxy_uwsgi 加强了对 HTTP 后端响应的检查和解析。
来源: opennet.ru