Некоторые конфигурации mod_proxy на Apache HTTP Server версий 2.4.0 до 2.4.55 позволяют атаки подделки HTTP-запросов. Конфигурации затрагив…

Некоторые конфигурации mod_proxy на Apache HTTP Server версий 2.4.0 до 2.4.55 позволяют атаки подделки HTTP-запросов. Конфигурации затрагиваются, когда модуль mod_proxy включен вместе с какой-либо формой RewriteRule или ProxyPassMatch, в которой не специфичный шаблон соответствует некоторой части целевого адреса, предоставленного пользователем (URL), и затем повторно вставляется в проксируемый целевой адрес с помощью переменной подстановки. Например, что-то вроде: RewriteEngine on RewriteRule "^/here/(.*)" "http://example.com:8080/elsewhere?$1"; [P] ProxyPassReverse /here/ http://example.com:8080/ Разделение/подделка запросов может привести к обходу контроля доступа на прокси-сервере, проксированию непредусмотренных URL-адресов к существующим исходным серверам и отравлению кеша. Пользователям рекомендуется обновиться до как минимум версии 2.4.56 Apache HTTP Server.