The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Релиз http-сервера Apache 2.4.56 с устранением уязвимостей

08.03.2023 08:29

Опубликован релиз HTTP-сервера Apache 2.4.56, в котором представлено 6 изменений и устранено 2 уязвимости, связанные с возможностью проведения атак класса "HTTP Request Smuggling" на системы фронтэнд-бэкенд, позволяющих вклиниваться в содержимое запросов других пользователей, обрабатываемых в том же потоке между фронтэндом и бэкендом. Атака может быть использована для обхода систем ограничения доступа или подстановки вредоносного JavaScript-кода в сеанс с легитимным сайтом.

Первая уязвимость (CVE-2023-27522) затрагивает модуль mod_proxy_uwsgi и позволяет на стороне прокси разделить ответ на две части через подстановку специальных символов в возвращаемом бэкендом HTTP-заголовке.

Вторая уязвимость (CVE-2023-25690, эксплоит) присутствует в mod_proxy и проявляется при использовании некоторых правил перезаписи запросов при помощи директивы RewriteRule, предоставляемой модулем mod_rewrite, или определённых шаблонов в директиве ProxyPassMatch. Уязвимость может привести к запросу через прокси внутренних ресурсов, доступ к которым через прокси запрещён, или к отравлению содержимого кэша. Для проявления уязвимости необходимо, чтобы в правилах перезаписи запроса использовались данные из URL, которые затем подставлялись в отправляемый далее запрос. Например:


     RewriteEngine on
     RewriteRule "^/here/(.*)" "
     http://example.com:8080/elsewhere?$1"
     http://example.com:8080/elsewhere ; [P]
     ProxyPassReverse /here/  http://example.com:8080/
     http://example.com:8080/

Среди изменений, не связанных с безопасностью:

  • В утилиту rotatelogs добавлен флаг "-T", позволяющий при ротации логов выполнять усечение последующих лог-файлов без усечения начального лог-файла.
  • В mod_ldap разрешено указание в директиве LDAPConnectionPoolTTL отрицательных значений для настройки повторного использования любых старых соединений.
  • В модуле mod_md, применяемом для автоматизации получения и обслуживания сертификатов с использованием протокола ACME (Automatic Certificate Management Environment), при сборке с libressl 3.5.0+ включена поддержка схемы цифровой подписи ED25519 и учета информации публичного лога сертификатов (CT, Certificate Transparency). В директиве MDChallengeDns01 разрешено определение настроек для отдельных доменов.
  • В mod_proxy_uwsgi ужесточена проверка и разбор ответов от HTTP-бэкендов.


  1. Главная ссылка к новости (https://downloads.apache.org/h...)
  2. OpenNews: Релиз http-сервера Apache 2.4.55 с устранением уязвимостей
  3. OpenNews: Новая атака на системы фронтэнд-бэкенд, позволяющая вклиниться в запросы
  4. OpenNews: Атака на системы фронтэнд-бэкенд, позволяющая вклиниться в сторонние запросы
  5. OpenNews: Протокол HTTP/3.0 получил статус предложенного стандарта
  6. OpenNews: Компания Intel развивает протокол HTTPA, дополняющий HTTPS
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/58761-httpd
Ключевые слова: httpd, apache
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (46) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 08:48, 08/03/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +10 +/
    Лучший http сервер. Модули, скорость, удобные конфиги -- всё при нём. One love.

     
     
  • 2.3, Аноним (-), 09:26, 08/03/2023 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Про скорость этого утюга хорошая шутка.
     
     
  • 3.4, Аноним (4), 10:24, 08/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Нжинкс уже давно отстаёт даже от апача, добро пожаловать в 2023 год.  
     
     
  • 4.7, Аноним (7), 10:30, 08/03/2023 [^] [^^] [^^^] [ответить]  
  • +9 +/
    > Нжинкс уже давно отстаёт даже от апача

    Санитар! Пилюлю!

     
     
  • 5.8, Аноним (8), 10:39, 08/03/2023 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Не можешь свыкнутся с объективной реальностью табами до сих пор закидываешься?
     
  • 5.9, Аноним (4), 10:43, 08/03/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Начни изучать тормознутость nginx хотя бы с непредвзятых тестов https://www.opennet.ru/opennews/art.shtml?num=58323
     
     
  • 6.10, Аноним (7), 10:49, 08/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > (без оптимизаций в конфигурации как есть)

    Яснопонятно.

    > (нет ссылки на исходники бенчмарка, нигде нет опубликованных конфигов серверов)

    Поверим им на слово! Тем более, если это по сути единственный в интернете бенчмарк, где нгинкс не на первом, а на последнем месте, в комментариях статейки никого нет, интернет эту статью вообще не заметил -- все равно поверим на слово!

     
     
  • 7.11, Аноним (4), 10:54, 08/03/2023 [^] [^^] [^^^] [ответить]  
  • +4 +/
    В твоём воображаемом интернете? Дело не в том на каком нжинкс месте. Дело в том что Апач быстрее нжинкса и пусть даже он не такой быстрый как hinsightd.

    Просто чтобы все видел правильные цифры выгладят так:
    • Apache/2.4.54 - 37474.10 запросов в секунду (34305.55)
    • Caddy/2.6.2 - 35412.02 запросов в секунду (33995.57)
    • nginx/1.23.2 - 26673.64 запросов в секунду (26172.73)

     
     
  • 8.13, Аноним (7), 11:03, 08/03/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Правильные цифры, высосанные из пальца и из других известных мест Где конфиги с... текст свёрнут, показать
     
     
  • 9.14, Аноним (4), 11:06, 08/03/2023 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Ты по ссылкам перейти не можешь Там все написано и полностью доступно объяснено... текст свёрнут, показать
     
     
  • 10.15, Аноним (7), 11:09, 08/03/2023 [^] [^^] [^^^] [ответить]  
  • +5 +/
    По каким ссылкам Их нигде нет, аффтар просто скинул прикольную табличку, котору... текст свёрнут, показать
     
  • 8.18, YetAnotherOnanym (ok), 11:42, 08/03/2023 [^] [^^] [^^^] [ответить]  
  • –5 +/
    И как у него без многопоточности быстрота при десятках тысяч клиентов ... текст свёрнут, показать
     
     
  • 9.22, Аноним (4), 11:55, 08/03/2023 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Никак это сервер под синтетические тесты, показать смотрите как я могу Оно и по... текст свёрнут, показать
     
     
  • 10.56, Гай Юлий Анонимоус (?), 14:33, 10/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Да не переживай ты, болезный, так за Nginx Лн живее всех живых, но теперь уже о... текст свёрнут, показать
     
  • 6.32, Аноним (32), 13:35, 08/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Вот спасибо, буду показывать всем любителям смузи когда меня опять назовут никчёмным экспертом
     
  • 3.45, Tron is Whistling (?), 09:02, 09/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Чего шутка-то? У апача есть mpm_event, который для проксей и статики приближает его к нгинху.
    Но в отличие от нгинха апач легко переконфигурируется и под работу с динамикой, и под многое прочее.
    Т.е. гетерогенность. Хочешь шустрее - event и треды. Хочешь динамику, которая в треды не умеет - заводишь с префорком. Нгинх, который умеет только одну модель работы - в итоге не нужен.
     

  • 1.2, Аноним (2), 08:50, 08/03/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    >Релиз http-сервера Apache 2.4.56 с устранением уязвимостей

    Это, конечно, замечательно. А индейцам нравится это? Была новость про индейцев, что-то никаких обнов.

     
     
  • 2.6, Аноним (4), 10:25, 08/03/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Индейцам не нравится, но кто их слушает, у них юрист плохой.  
     

  • 1.35, Аноним (35), 18:56, 08/03/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –7 +/
    Специальный проект для поддержки пенсионеров в IT. В современном вебе статический контент раздают из S3 через CDN, в обоих случаях это специализированные демоны, написанные для оптимального решения одной узкой задачи. API-бэкэнд сам себе http-сервер. За вычетом недодушенного легаси, время http-серверов ушло, теперь это не более чем идея проекта уровня todo list для изучения языка. Nginx ещё трепыхается как балансировщик нагрузки и обратный прокси, но даже в сравнении с HAProxy это выглядит просто смешно, не говоря уже про Envoy. Помянем.
     
     
  • 2.38, ivan_erohin (?), 20:30, 08/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > идея проекта уровня todo list для изучения языка.

    и мы знаем, какого языка изучения.

     
  • 2.39, suffix (ok), 21:24, 08/03/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    А через 20 лет очередной аноним на опеннете напишет в точности то же что и Вы сейчас думая что открывает Америку :)

    Между тем и сейчас и через 20 лет миллионы сайтов на WP и Битрикс будут продолжать работать на nginx + apache !

     
     
  • 3.43, Аноним (35), 02:03, 09/03/2023 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Миллионы локалхостов с 3½ посетителями, из которых два — мама и папа могут на чём угодно работать, хоть на SSI, это всё мало кому интересно. В проде апачи с нжинксами вижу только в контексте выкидывания при миграции в клауд.
     
     
  • 4.48, suffix (ok), 14:38, 09/03/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Миллионы локалхостов с 3½ посетителями, из которых два — мама и папа
    > могут на чём угодно работать, хоть на SSI, это всё мало
    > кому интересно. В проде апачи с нжинксами вижу только в контексте
    > выкидывания при миграции в клауд.

    1.

    Вы в курсе что занимаясь формошлёпством на узеньком участке в соковыжималке моветон причислять себя к его величеству продакшену ?

    2.

    Вы в курсе что любой сайт на WP с apache и nginx про красно-жёлтых вертипопых камнеежек даже с минимальной посещаемостью (пет-проект) если сделан с любовью и наполняется энтузиастами в 100500 матери-истории более ценен чем ваш очередной облачный монстр по перепродаже товаров из Китая ?

     
     
  • 5.49, Аноним (49), 05:28, 10/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Как это мило и по-опеннетовскм наивно — рассказывать про Битрикс и обвинять кого-то в формошлепстве.

    Про перепродажу из Китая придётся тебе развернуть, не понял при чём тут это. И про ценность рынка пет-проектов.

     
     
  • 6.72, ivan_erohin (?), 13:19, 11/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Про перепродажу из Китая придётся тебе развернуть,

    клауды именно для того и используются. более важные данные им не доверяют.
    при этом на амазоне не стоит разворачивать даже перепродажу китайхлама.
    хитрецы грепают базы, память и корректируют свои цены так чтобы они были выгоднее.

     
  • 2.40, Аноним (40), 23:43, 08/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Да ты поехавший. Пока протокол HTTP не закопали, будут и вебсерверы.
    >API-бэкэнд сам себе http-сервер

    API без шлюза (реверс прокси) только при локальной отладке используется.

     
     
  • 3.42, Аноним (35), 01:27, 09/03/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    И шлюзом этим в проде выступает отнюдь не апач, увы и ах.
     
  • 2.44, mikhailnov (ok), 04:23, 09/03/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Для простейшего сайта на WordPress или просто HTML можно будет продать гору облачных сервисов, в т.ч. S3 ))
     
     
  • 3.51, Аноним (49), 05:41, 10/03/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Для простейшего сайта ВордПресс не нужен. Для сложного тоже. Так, артефакт прошлого для пенсионеров.
     
     
  • 4.52, пох. (?), 10:41, 10/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ага, теперь модняво простой сайт сделать в виде одной страницы с дерганой прокруткой вместо нормальных ссылок, пасередине разместить телефон и "для заказа услуги звоните в бубен".

    Даже прием совершенно банальных разовых заказов сделать (я молчу уж про полноценные учетки для клиентов с возможностью управлять своими заказами) - слишком сложно и много возни. Да и зачем вам, по телефону вон давайте. Еще можно чяаааатик с роботом запилить.

    При этом телефонисты, кстати, до такого мусора еще не выродились - по этому самому телефону вполне может внезапно найтись сквозная автоматическая авторизация и много еще интересного. А сайтик - просто бесполезная финтифлюшка.

    А ссылку на оплату мы вам в sms пришлем. Или вот - всосап.

    Еще десяток лет назад до такого маразма только совсем рога и копыта опускались. Сейчас - каждый второй (да и то за счет тех у кого все это вот те десять лет и работает без изменений)

     
     
  • 5.57, Аноним (49), 18:29, 10/03/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    А вот и первый пенсионер, бенефициар программы Раньше было лучше и заслуга в эт... большой текст свёрнут, показать
     
     
  • 6.64, пох. (?), 23:23, 10/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > емейл, телефон с человеком,

    мляя... и как вы в этом п-це живете? А, впрочем, знаю, как.

    Недавно в неваши края собирался - там среди прочих формальностей надо емейле, да. Ответ непременно напечатать и в рамочку (чуваки из ШриЛанкийской immigration - "а че, ТАК можно было?"). На кривой адрес где этих емелей по тыще в день. И вот сидишь ты за пол-дня до вылета (с риском не улететь на все деньги), и гадаешь - это оно в спаме где-то застряло, или ответ потерялся, или просто до него еще руки не дошли?

    Сайт с формой возвращающей id и возможностью проверить его статус? Неее, это по пенсионерски, апач какой-то нужен (а то еще и пехепе проклятый) а не "тонны мусора раздавать с s3" (кому и зачем он вообще сдался), мы, зуммерки, не умеем, емеле пишите.

    Телефон с человеком мы тоже любим и обожаем - ваш звонок очень неважен для нас, среднее время ответа составляет...пщщщщщминут, у вас ведь бесплатный тариф и заняться вам вообще нечем, благодарим за пользование и идите найух. Ну или "мы непременнейше вам перезвоним" - угу, через пару дней, именно в тот момент когда я одной рукой собираю дерьмо за собакой, а второй изо всех сил держу поводок чтоб она не сожрала ежа.

    Всосап в той же кстати стране тоже замечателен - пол-часа переписки с ботом, ты ему и оппу, и унитаз - ждите, щас человека приглашу. Через два часа когда доходят руки проверить - да, 45 минут назад кожанный мешок переспросил - ау, ты уже надеюсь зае..лся ждать ответа и я с чистой совестью таск закрываю?

     
  • 2.46, Tron is Whistling (?), 09:03, 09/03/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Ты имеешь в виду в современных однодневочках? Это да.
    А так на подложке у всех всё те же вёбсерверы, ничего не изменилось.
     
     
  • 3.50, Аноним (49), 05:39, 10/03/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Да? И какие же? Только не говори, что Апач, помру со смеху.
     
     
  • 4.53, пох. (?), 10:44, 10/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    клаудшмара там, со своим анал0г06нетом. А к бэкэнду ходит по голому http, светя все твои данные и кредитки - патамушта сложна и нипанятна, и вот же ж - замочек видити, все сесюрна!
     
  • 4.54, Tron is Whistling (?), 13:26, 10/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    https://w3techs.com/technologies/overview/web_server

    Внезапно, да?

    И ещё учти, что нхинх - это в основном фронтенд, а что за ним и клаудкларой - ну, можно прикинуть по соотношению остального :D

    Короче да. Апач, немножко всякого у CDN'ов, и немножко маргинальщины.

     
     
  • 5.55, Аноним (55), 14:32, 10/03/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Много видел серверов, которые отдают информацию о себе, о своей версии и т.д.?

    Разве что сайты от Васяна, другие эту информацию скрывают, подменяют.

     
     
  • 6.61, Tron is Whistling (?), 22:16, 10/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ну я тоже хрень отдаю.
    Но не потому что есть какой-то смысл скрывать (открою секрет: нет вообще никакого смысла), а просто по приколу.
     
     
  • 7.63, Аноним (49), 23:13, 10/03/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Да всем пофиг, что ты там со своего локалхоста отдаёшь. Он в статистике вообще не участвует.
     
     
  • 8.68, Tron is Whistling (?), 11:48, 11/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Не думаю, что сайты одного из средней руки ISP TSP MSP вместе с хостингами не уч... текст свёрнут, показать
     
  • 5.59, Аноним (49), 18:37, 10/03/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > In order to obtain any information from websites, we rely on the websites themselves, their owners or their webmasters to provide such information. Some websites are more open to sharing this type of information than others. Some technologies may provide more means to reveal information about their usage than others.
    > In some cases, the information provided by websites, their owners or their webmasters may be wrong. We may not be able to detect all cases of misinformation.

    Выходит по твоей статистике, большинство админов Апача и Нжинкса не следуют базовым рекомендациям и предоставляют сведения о версии http-демона. Как и положено типичным локалхостным васянам.

     
     
  • 6.60, Tron is Whistling (?), 22:15, 10/03/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Бггг, да, скрыть версию вёбсервера - это сразу +100 к безопастности. Девляпс?
     
     
  • 7.62, Аноним (49), 23:12, 10/03/2023 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Те, кто следует BCP девляпсы? Тебя ждёт множество удивительных открытий. Начиная с хардкорного IP-транзита, где за такое могут и сессию погасить.
     
     
  • 8.69, Tron is Whistling (?), 11:58, 11/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Чо Я софткорный IP-транзит, с хардкорными IP-транзитами дело имею вплотную Are... текст свёрнут, показать
     
  • 8.70, Tron is Whistling (?), 11:59, 11/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    И вообще, как ты собрался юзерагент из HTTP S 2 3 извлекать, сессиёгаситель ... текст свёрнут, показать
     
  • 6.71, Tron is Whistling (?), 12:04, 11/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ты ещё вот это не прочитал:
    Some technologies may provide more means to reveal information about their usage than others.

    Т.е. фингерпринтинг они всё-таки похоже используют. Иначе статистика вообще была бы кривая-косая.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру