1. Forum
  2. Usenet
  3. LINUX.DEBIAN.USER.ITALIAN

  • Apache, CVE-2023-25690 e Rewrite Rules...

    From Marco Gaiarin@21:1/5 to All on Wed Apr 26 22:50:01 2023
    Beccato baco di Apache, debian pubblica:

    https://lists.debian.org/debian-lts-announce/2023/04/msg00028.html

    in cui inserisce la sibillina:

    Unfortunately, fixing these security vulnerabilities may require
    changes to configuration files. Some out-of-specification
    RewriteRule directives that were previously silently accepted,
    are now rejected with error AH10409. For instance, some RewriteRules
    that included a back-reference and the flags "[L,NC]" will need to
    be written with extra escaping flags such as "[B= ?,BNP,QSA]".

    che o uno è un Guru delle Apache rewritre rule, o non ci capisce una sega.

    Ad esempio "[L,NC]" vuol dire le rewrite rule che contengono 'L' e 'NC' o esattamente quelle che contengono 'L,NC'?!

    Una rewritre rule come:

    RewriteRule ^/\.well-known/carddav https://%{SERVER_NAME}/remote.php/dav/ [R=301,L]
    RewriteRule ^/\.well-known/caldav https://%{SERVER_NAME}/remote.php/dav/ [R=301,L]
    RewriteRule ^/\.well-known/webfinger https://%{SERVER_NAME}/index.php/.well-known/webfinger [R=301,L]

    (nextcloud) è vulnerabile?!


    Grazie...

    --
    If SMB was an animal it would go wolf and most people would have shot it
    or put it down humanely. (Rod Boyce)

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From MAURIZI Lorenzo@21:1/5 to All on Thu Apr 27 10:50:02 2023
    Ciao Marco,
    nelle rewriterule le backreferences dovrebbero essere i $1 $2 che corrispondono con i gruppi che si catturano nella prima parte della rule con le parentesi, e [L,NC] sono i flag che impostano il comportamento della rewrite rule tipo le seguenti:

    RewriteRule ^/(.*) http://www.example.com/$1 [L,NC]
    RewriteRule ^/sito2/(.*) http://www2.example.com/$1 [L,NC]

    Forse queste due rewriterule dovrebbero essere il prototipo di quelle indicate dall'annuncio.

    In questo caso il flag L dice ad Apache che la regola è l'ultima e quindi se ci fossero sotto altre regole, non vengono elaborate. In effetti per come è fatta questa coppia di regole (inventate di sana pianta), la prima acchiappa tutto e quindi la
    seconda non verrà mai eseguita.
    NC dice di fare il match case-insensitive.

    Ma nelle regole che hai inserito tu non ci sono backreferences, nel tuo caso le rewrite rule sono usate per rimbalzare eventuali riferimenti a vecchi path su un nuovo path statico, senza backreferences, quindi credo che non ci saranno problemi. Oltre al
    flag L c'è R=301, cioè impone al browser di fare redirect con codice 301 (moved permanently), altrimenti il default del flag R è 302 (moved temporarily).

    Mi rimane il dubbio di cosa voglia dire "Some out-of-specification RewriteRule directives that were previously silently accepted"
    Mi piacerebbe vederne una di queste out-of-specification RewriteRule per capirne l'errore e la giusta formulazione...


    Ciao
    Lorenzo

    -----Messaggio originale-----
    Da: Marco Gaiarin <gaio@lilliput.linux.it>
    Inviato: mercoledì 26 aprile 2023 22:07
    A: debian-italian@lists.debian.org
    Oggetto: Apache, CVE-2023-25690 e Rewrite Rules...


    Beccato baco di Apache, debian pubblica:

    https://lists.debian.org/debian-lts-announce/2023/04/msg00028.html

    in cui inserisce la sibillina:

    Unfortunately, fixing these security vulnerabilities may require changes to configuration files. Some out-of-specification RewriteRule directives that were previously silently accepted, are now rejected with error AH10409. For instance, some
    RewriteRules that included a back-reference and the flags "[L,NC]" will need to be written with extra escaping flags such as "[B= ?,BNP,QSA]".

    che o uno è un Guru delle Apache rewritre rule, o non ci capisce una sega.

    Ad esempio "[L,NC]" vuol dire le rewrite rule che contengono 'L' e 'NC' o esattamente quelle che contengono 'L,NC'?!

    Una rewritre rule come:

    RewriteRule ^/\.well-known/carddav https://%{SERVER_NAME}/remote.php/dav/ [R=301,L]
    RewriteRule ^/\.well-known/caldav https://%{SERVER_NAME}/remote.php/dav/ [R=301,L]
    RewriteRule ^/\.well-known/webfinger https://%{SERVER_NAME}/index.php/.well-known/webfinger [R=301,L]

    (nextcloud) è vulnerabile?!


    Grazie...

    --
    If SMB was an animal it would go wolf and most people would have shot it
    or put it down humanely. (Rod Boyce)

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Marco Gaiarin@21:1/5 to All on Fri May 5 18:50:01 2023
    Mandi! MAURIZI Lorenzo
    In chel di` si favelave...

    Ma nelle regole che hai inserito tu non ci sono backreferences, nel tuo caso le rewrite rule sono usate per rimbalzare eventuali riferimenti a vecchi path su un nuovo path statico, senza backreferences, quindi credo che non ci saranno problemi. Oltre
    al flag L c'è R=301, cioè impone al browser di fare redirect con codice 301 (moved permanently), altrimenti il default del flag R è 302 (moved temporarily).

    Infatti. Grazie della spiegazione.


    Mi rimane il dubbio di cosa voglia dire "Some out-of-specification RewriteRule directives that were previously silently accepted"
    Mi piacerebbe vederne una di queste out-of-specification RewriteRule per capirne l'errore e la giusta formulazione...

    Esatto... ho cercato un po' e debian era l'unica a dare qualche spiegazione,
    ma a tratti resta incomprensibile... ;-)


    Amen, grazie.

    --
    Per trovare qualcosa sui siti di Ms devi usare Google :-)
    (Simo Sorce, da samba-it)

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)