Apache HTTP服务器中发现的一个尚待修补的缺陷允许攻击者在未正确定义某些重写规则的情况下访问内部网络上受保护的资源。
脆弱性影响在反向代理模式下运行的Apache安装,这是一种用于负载平衡、缓存和涉及在多台服务器上分配资源的其他操作的配置。
为了将apachehttpd设置为作为反向代理运行,服务器管理员使用诸如mod_proxy和mod_rewrite之类的专用模块。
Qualys的安全研究人员警告说,如果某些规则配置不正确,攻击者可以欺骗服务器执行未经授权的请求来访问内部资源。
这个问题并不是新问题,一个允许类似攻击的漏洞早在10月份就被解决了。然而,Qualys的研究人员Prutha Parikh在审查修补程序时意识到,由于URI(统一资源标识符)方案剥离过程中存在缺陷,可以绕过该修补程序。该方案是冒号“:”字符前面的URI部分,如http、ftp或文件。
一个相对常见的重写和代理规则是“^(.*)”http://internal_host$1”,它将请求重定向到计算机内部_主机。但是,如果使用了该选项,并且服务器接收到(例如)对“主机::端口”(带有两个冒号)的请求,“主机:”部分被剥离,其余部分被追加到http://internal_host 以便在内部转发。
问题是,在这种情况下,其余部分是“:port”,因此将转发的请求转换为http://internal_host:port,一种可能导致受保护资源暴露的意外行为。
为了缓解这个问题,服务器管理员应该在重写规则中的$1之前添加一个正斜杠,正确的形式是“^(.*)”http://internal_host/“1美元”,帕里克说。
Apache开发人员已经意识到了这个问题,目前正在讨论解决这个问题的最佳方法。一种可能是加强服务器代码中以前的补丁以拒绝此类请求,但是,不确定是否会发现其他绕过方法。
Apache开发人员邮件列表上的红帽高级软件工程师Joe Orton说:“我们可以尝试改进该修复程序,但我认为更改mod_proxy和mod_rewrite中的translate_name钩子以在‘正确’的位置强制执行该要求会更简单。”。奥尔顿提出了一个补丁其他开发人员目前正在对此进行审查。