Релиз http-сервера Apache 2.4.56 с устранением уязвимостей
Автор
Сообщение
news_bot ®
Стаж: 6 лет 2 месяца
Сообщений: 27286
Опубликован релиз HTTP-сервера Apache 2.4.56, в котором представлено 6 изменений и устранено 2 уязвимости, связанные с возможностью проведения атак класса "HTTP Request Smuggling" на системы фронтэнд-бэкенд, позволяющих вклиниваться в содержимое запросов других пользователей, обрабатываемых в том же потоке между фронтэндом и бэкендом. Атака может быть использована для обхода систем ограничения доступа или подстановки вредоносного JavaScript-кода в сеанс с легитимным сайтом.
Первая уязвимость (CVE-2023-27522) затрагивает модуль mod_proxy_uwsgi и позволяет на стороне прокси разделить ответ на две части через подстановку специальных символов в возвращаемом бэкендом HTTP-заголовке.
Вторая уязвимость (CVE-2023-25690) присутствует в mod_proxy и проявляется при использовании некоторых правил перезаписи запросов при помощи директивы RewriteRule, предоставляемой модулем mod_rewrite, или определённых шаблонов в директиве ProxyPassMatch. Уязвимость может привести к запросу через прокси внутренних ресурсов, доступ к которым через прокси запрещён, или к отравлению содержимого кэша.
Для проявления уязвимости необходимо, чтобы в правилах перезаписи запроса использовались данные из URL, которые затем подставлялись в отправляемый далее запрос. Например:
RewriteEngine on
RewriteRule "^/here/(.*)" "
http://example.com:8080/elsewhere?$1"
http://example.com:8080/elsewhere ; [P]
ProxyPassReverse /here/ http://example.com:8080/
http://example.com:8080/
Среди изменений, не связанных с безопасностью:
- В утилиту lotatelogs добавлен флаг "-T", позволяющий при ротации логов выполнять усечение последующих лог-файлов без усечения начального лог-файла.
- В mod_ldap разрешено указание в директиве LDAPConnectionPoolTTL отрицательных значений для настройки повторного использования любых старых соединений.
- В модуле mod_md, применяемом для автоматизации получения и обслуживания сертификатов с использованием протокола ACME (Automatic Certificate Management Environment), при сборке с libressl 3.5.0+ включена поддержка схемы цифровой подписи ED25519 и учета информации публичного лога сертификатов (CT, Certificate Transparency).
В директиве MDChallengeDns01 разрешено определение настроек для отдельных доменов.
- В mod_proxy_uwsgi ужесточена проверка и разбор ответов от HTTP-бэкендов.
===========
Источник:
OpenNet.RU
===========
Похожие новости
- Главная ссылка к новости (https://downloads.apache.org/h...)
- OpenNews: Релиз http-сервера Apache 2.4.55 с устранением уязвимостей
- OpenNews: Новая атака на системы фронтэнд-бэкенд, позволяющая вклиниться в запросы
- OpenNews: Атака на системы фронтэнд-бэкенд, позволяющая вклиниться в сторонние запросы
- OpenNews: Протокол HTTP/3.0 получил статус предложенного стандарта
- OpenNews: Компания Intel развивает протокол HTTPA, дополняющий HTTPS
Похожие новости:
- Релиз http-сервера Apache 2.4.55 с устранением уязвимостей
- Объединение индейцев добивается переименования проектов Apache
- Выпуск http-сервера Lighttpd 1.4.68
- Уязвимости в VS Code, Grafana, GNU Emacs и Apache Fineract
- Уязвимость в HTTP-сервере muhttpd, открываяющая доступ к файлам вне рабочего каталога
- Релиз http-сервера Apache 2.4.54 с устранением уязвимостей
- Выпуск http-сервера Lighttpd 1.4.65
- Релиз http-сервера Apache 2.4.53 с устранением опасных уязвимостей
- Выпуск http-сервера Lighttpd 1.4.64
- Лидер Apache PLC4X перешёл на модель платного развития функциональности
Теги для поиска: #_httpd, #_apache
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 03-Май 15:07
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 2 месяца |
|
|
Опубликован релиз HTTP-сервера Apache 2.4.56, в котором представлено 6 изменений и устранено 2 уязвимости, связанные с возможностью проведения атак класса "HTTP Request Smuggling" на системы фронтэнд-бэкенд, позволяющих вклиниваться в содержимое запросов других пользователей, обрабатываемых в том же потоке между фронтэндом и бэкендом. Атака может быть использована для обхода систем ограничения доступа или подстановки вредоносного JavaScript-кода в сеанс с легитимным сайтом. Первая уязвимость (CVE-2023-27522) затрагивает модуль mod_proxy_uwsgi и позволяет на стороне прокси разделить ответ на две части через подстановку специальных символов в возвращаемом бэкендом HTTP-заголовке. Вторая уязвимость (CVE-2023-25690) присутствует в mod_proxy и проявляется при использовании некоторых правил перезаписи запросов при помощи директивы RewriteRule, предоставляемой модулем mod_rewrite, или определённых шаблонов в директиве ProxyPassMatch. Уязвимость может привести к запросу через прокси внутренних ресурсов, доступ к которым через прокси запрещён, или к отравлению содержимого кэша. Для проявления уязвимости необходимо, чтобы в правилах перезаписи запроса использовались данные из URL, которые затем подставлялись в отправляемый далее запрос. Например: RewriteEngine on
RewriteRule "^/here/(.*)" " http://example.com:8080/elsewhere?$1" http://example.com:8080/elsewhere ; [P] ProxyPassReverse /here/ http://example.com:8080/ http://example.com:8080/
=========== Источник: OpenNet.RU =========== Похожие новости
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 03-Май 15:07
Часовой пояс: UTC + 5