Apache HTTP 伺服器 2.4.56 版本已經發布,引入了 6 個變更並消除了 2 個與對前後端系統進行「HTTP 請求走私」攻擊的可能性相關的漏洞,從而允許侵入前端和後端之間在同一線程中處理其他使用者請求的內容。此攻擊可用於繞過存取限制系統或將惡意 JavaScript 程式碼插入與合法網站的會話中。
第一個漏洞 (CVE-2023-27522) 影響 mod_proxy_uwsgi 模組,並允許透過取代後端傳回的 HTTP 標頭中的特殊字符,在代理端將回應分為兩部分。
第二個漏洞 (CVE-2023-25690) 存在於 mod_proxy 中,當使用 mod_rewrite 模組提供的 RewriteRule 指令或 ProxyPassMatch 指令中的某些模式使用某些請求重寫規則時,就會發生該漏洞。該漏洞可能導致透過代理請求不允許透過代理存取的內部資源,或導致快取內容中毒。為了使漏洞顯現出來,請求重寫規則必須使用 URL 中的數據,然後將其替換到進一步發送的請求中。例如: RewriteRule 上的 RewriteEngine “^/here/(.*)” » http://example.com:8080/elsewhere?$1″ http://example.com:8080/elsewhere ; [P] ProxyPassReverse /此處/ http://example.com:8080/ http://example.com:8080/
非安全變更包括:
- 「-T」標誌已新增至rotatelogs實用程式中,該實用程式允許在輪換日誌時截斷後續日誌檔案而不截斷初始日誌檔案。
- mod_ldap 允許 LDAPConnectionPoolTTL 指令中的負值來設定任何舊連線的重複使用。
- mod_md 模組用於使用 ACME(自動憑證管理環境)協定自動接收和維護證書,當使用 libressl 3.5.0+ 編譯時,包括對 ED25519 數位簽章方案的支援以及公共憑證日誌資訊(CT)的支持,憑證透明度)。 MDChallengeDns01 指令允許定義各個域的設定。
- mod_proxy_uwsgi 加強了對 HTTP 後端回應的檢查和解析。
來源: opennet.ru