R: Apache, CVE-2023-25690 e Rewrite Rules...

To: "debian-italian@lists.debian.org" <debian-italian@lists.debian.org>
Subject: R: Apache, CVE-2023-25690 e Rewrite Rules...
From: MAURIZI Lorenzo <l.maurizi@comune.jesi.an.it>
Date: Thu, 27 Apr 2023 08:25:43 +0000
Message-id: <[🔎] 228cdc6cd2ee467bab9fba0547b8f422@comune.jesi.an.it>
In-reply-to: <[🔎] ascohj-ftb1.ln1@hermione.lilliput.linux.it>
References: <[🔎] ascohj-ftb1.ln1@hermione.lilliput.linux.it>

Ciao Marco,
nelle rewriterule le backreferences dovrebbero essere i $1 $2 che corrispondono con i gruppi che si catturano nella prima parte della rule con le parentesi, e [L,NC] sono i flag che impostano il comportamento della rewrite rule tipo le seguenti:

RewriteRule ^/(.*) http://www.example.com/$1 [L,NC]
RewriteRule ^/sito2/(.*) http://www2.example.com/$1 [L,NC]

Forse queste due rewriterule dovrebbero essere il prototipo di quelle indicate dall'annuncio. 

In questo caso il flag L dice ad Apache che la regola è l'ultima e quindi se ci fossero sotto altre regole, non vengono elaborate. In effetti per come è fatta questa coppia di regole (inventate di sana pianta), la prima acchiappa tutto e quindi la seconda non verrà mai eseguita.
NC dice di fare il match case-insensitive.

Ma nelle regole che hai inserito tu non ci sono backreferences, nel tuo caso le rewrite rule sono usate per rimbalzare eventuali riferimenti a vecchi path su un nuovo path statico, senza backreferences, quindi credo che non ci saranno problemi. Oltre al flag L c'è R=301, cioè impone al browser di fare redirect con codice 301 (moved permanently), altrimenti il default del flag R è 302 (moved temporarily).

Mi rimane il dubbio di cosa voglia dire "Some out-of-specification  RewriteRule directives that were previously silently accepted"
Mi piacerebbe vederne una di queste out-of-specification RewriteRule per capirne l'errore e la giusta formulazione...


Ciao
Lorenzo

-----Messaggio originale-----
Da: Marco Gaiarin <gaio@lilliput.linux.it> 
Inviato: mercoledì 26 aprile 2023 22:07
A: debian-italian@lists.debian.org
Oggetto: Apache, CVE-2023-25690 e Rewrite Rules...


Beccato baco di Apache, debian pubblica:

	https://lists.debian.org/debian-lts-announce/2023/04/msg00028.html

in cui inserisce la sibillina:

 Unfortunately, fixing these security vulnerabilities may require  changes to configuration files. Some out-of-specification  RewriteRule directives that were previously silently accepted,  are now rejected with error AH10409. For instance, some RewriteRules  that included a back-reference and the flags "[L,NC]" will need to  be written with extra escaping flags such as "[B= ?,BNP,QSA]".

che o uno è un Guru delle Apache rewritre rule, o non ci capisce una sega.

Ad esempio "[L,NC]" vuol dire le rewrite rule che contengono 'L' e 'NC' o esattamente quelle che contengono 'L,NC'?!

Una rewritre rule come:

	RewriteRule ^/\.well-known/carddav https://%{SERVER_NAME}/remote.php/dav/ [R=301,L]
	RewriteRule ^/\.well-known/caldav https://%{SERVER_NAME}/remote.php/dav/ [R=301,L]
	RewriteRule ^/\.well-known/webfinger https://%{SERVER_NAME}/index.php/.well-known/webfinger [R=301,L]

(nextcloud) è vulnerabile?!


Grazie...

--
  If SMB was an animal it would go wolf and most people would have shot it
  or put it down humanely.				(Rod Boyce)

Reply to:

References:
- Apache, CVE-2023-25690 e Rewrite Rules...
  - From: Marco Gaiarin <gaio@lilliput.linux.it>

Prev by Date: Apache, CVE-2023-25690 e Rewrite Rules...
Next by Date: Re: PC Desktop nuovo: Grub e dischi
Previous by thread: Apache, CVE-2023-25690 e Rewrite Rules...
Index(es):
- Date
- Thread