Опубликован релиз HTTP-сервера Apache 2.4.53, в котором представлено 19 изменений и устранено 8 уязвимостей:
- CVE-2022-31813 — уязвимость в mod_proxy, позволяющая блокировать отправку заголовков X-Forwarded-* с информацией об IP-адресе, с которого поступил изначальных запрос. Проблема может быть использована для обхода ограничений доступа по IP-адресам.
- CVE-2022-30556 — уязвимость в mod_lua, позволяющая получить доступ к данным за пределами выделенного буфера через манипуляции с функцией r:wsread() в Lua-скриптах.
- CVE-2022-30522 — отказ в обслуживании (исчерпание доступной памяти) при обработке определённых данных модулем mod_sed.
- CVE-2022-29404 — отказ в обслуживании в mod_lua, эксплуатируемый через отправку специальной оформленных запросов Lua-обработчикам, использующим вызов r:parsebody(0).
- CVE-2022-28615, CVE-2022-28614 — отказ в обслуживании или получение доступа к данным в памяти процесса из-за ошибок в функциях ap_strcmp_match() и ap_rwrite(), приводящих к чтению из области за границей буфера.
- CVE-2022-28330 — утечка информации из областей вне границ буфера в mod_isapi (проблема проявляется только на платформе Windows).
- CVE-2022-26377 — модуль mod_proxy_ajp подвержен атакам класса «HTTP Request Smuggling» на системы фронтэнд-бэкенд, позволяющим вклиниваться в содержимое запросов других пользователей, обрабатываемых в том же потоке между фронтэндом и бэкендом.
Наиболее заметные изменения, не связанные с безопасностью:
- В mod_ssl обеспечена совместимость режима SSLFIPS с OpenSSL 3.0.
- В утилите ab реализована поддержка TLSv1.3 (требуется связывание с SSL-библиотекой, поддерживающей данный протокол).
- В mod_md в директиве MDCertificateAuthority разрешено использование более одного имени и URL удостоверяющего центра. Добавлены новые директивы: MDRetryDelay (определяет задержку перед отправкой повторного запроса) и MDRetryFailover (определяет число повторных попыток в случае сбоя перед выбором альтернативного удостоверяющего центра). Добавлена поддержка состояния «auto» при выводе значений в формате «key: value». Предоставлена возможность управления сертификатами для пользователей защищённой VPN-сети Tailscale.
- Проведена чистка модуля mod_http2 от неиспользуемого и небезопасного кода.
- В mod_proxy обеспечено отражение сетевого порта бэкенда в сообщениях об ошибках, записываемых в лог.
- В mod_heartmonitor значение параметра HeartbeatMaxServers изменено с 0 до 10 (инициализации 10 слотов разделяемой памяти).
Источник: opennet.ru