Вышел Apache 2.4.56 с устранением двух уязвимостей

Свежая версия веб-сервера Apache 2.4.56 привнесла не только устранение двух уязвимостей, но и несколько нововведений.

Сначала поговорим об уязвимостях, которые были закрыты в версии 2.4.56. Обе уязвимости связаны с возможностью проведения атак класса HTTP Request Smuggling на системы фронтенд-бэкенд, что означает возможность вклиниваться в содержимое запросов других пользователей, обрабатываемых в том же потоке между фронтендом и бэкендом. Данная атака может быть использована для обхода систем ограничения доступа или подстановки вредоносного JavaScript-кода в сеанс с вполне легитимным сайтом.

Первая уязвимость (CVE-2023-27522) затрагивает модуль mod_proxy_uwsgi и позволяет на стороне прокси разделить ответ на две части через подстановку специальных символов в возвращаемом бэкендом HTTP-заголовке.

Вторая уязвимость (CVE-2023-25690) присутствует в mod_proxy и проявляется при использовании некоторых правил перезаписи запросов при помощи директивы RewriteRule, предоставляемой модулем mod_rewrite, или определённых шаблонов в директиве ProxyPassMatch. Уязвимость может привести к запросу через прокси внутренних ресурсов, доступ к которым через прокси запрещён, или к отравлению содержимого кэша. Для проявления уязвимости необходимо, чтобы в правилах перезаписи запроса использовались данные из URL, которые затем подставлялись в отправляемый далее запрос. К примеру:

RewriteEngine on
RewriteRule "^/here/(.*)" "
http://example.com:8080/elsewhere?$1"
http://example.com:8080/elsewhere ; [P]
ProxyPassReverse /here/ http://example.com:8080/
http://example.com:8080/

К прочим нововведениям:

• В утилиту lotatelogs добавлен флаг «-T», позволяющий при ротации логов выполнять усечение последующих лог-файлов без усечения начального лог-файла;
• В mod_ldap разрешено указание в директиве LDAPConnectionPoolTTL отрицательных значений для настройки повторного использования любых старых соединений;
• В модуле mod_md, применяемом для автоматизации получения и обслуживания сертификатов с использованием протокола ACME (Automatic Certificate Management Environment), при сборке с libressl 3.5.0+ включена поддержка схемы цифровой подписи ED25519 и учета информации публичного лога сертификатов (CT, Certificate Transparency). В директиве MDChallengeDns01 разрешено определение настроек для отдельных доменов;
• В mod_proxy_uwsgi ужесточена проверка и разбор ответов от HTTP-бэкендов.

Скачать свежую версию Apache вы можете по этой ссылке.