تم نشر إصدار خادم Apache 2.4.53 HTTP، والذي يقدم 19 تغييرًا ويصلح 8 نقاط ضعف:
- CVE-2022-31813 هي ثغرة أمنية في mod_proxy يمكنها منع إرسال رؤوس X-Forwarded-* بمعلومات حول عنوان IP الذي جاء منه الطلب الأصلي. يمكن استخدام المشكلة لتجاوز قيود الوصول بناءً على عناوين IP.
- CVE-2022-30556 هي ثغرة أمنية في mod_lua تسمح بالوصول إلى البيانات خارج المخزن المؤقت المخصص من خلال عمليات المعالجة باستخدام وظيفة r:wsread() في البرامج النصية Lua.
- CVE-2022-30522 - رفض الخدمة (نفاد الذاكرة المتوفرة) أثناء معالجة بيانات معينة بواسطة mod_sed.
- CVE-2022-29404 - تم استغلال رفض الخدمة mod_lua عن طريق إرسال طلبات مصممة خصيصًا إلى معالجات Lua باستخدام استدعاء r:parsebody(0).
- CVE-2022-28615، وCVE-2022-28614 - رفض الخدمة أو الوصول إلى البيانات في ذاكرة العملية بسبب أخطاء في وظائف ap_strcmp_match() وap_rwrite()، مما يؤدي إلى القراءة من منطقة خارج حدود المخزن المؤقت.
- CVE-2022-28330 - تسرب معلومات خارج الحدود في mod_isapi (تظهر المشكلة على نظام Windows الأساسي فقط).
- CVE-2022-26377 - وحدة mod_proxy_ajp عرضة لهجمات "HTTP Request Smuggling" على أنظمة الواجهة الأمامية والخلفية التي تسمح باختراق محتوى طلبات المستخدمين الآخرين على نفس الموضوع بين الواجهة الأمامية والخلفية .
أبرز التغييرات غير الأمنية هي:
- mod_ssl يجعل وضع SSLFIPS متوافقًا مع OpenSSL 3.0.
- تنفذ الأداة المساعدة ab دعمًا لـ TLSv1.3 (يتطلب الارتباط بمكتبة SSL التي تدعم هذا البروتوكول).
- في mod_md، يسمح توجيه MDCertificateAuthority بأكثر من اسم CA وعنوان URL واحد. تمت إضافة توجيهات جديدة: MDRetryDelay (يحدد التأخير قبل إرسال طلب إعادة المحاولة) وMDRetryFailover (يحدد عدد مرات إعادة المحاولة في حالة الفشل قبل اختيار مرجع مصدق بديل). تمت إضافة دعم للحالة "التلقائية" عند عرض القيم بتنسيق "المفتاح: القيمة". توفير القدرة على إدارة الشهادات لمستخدمي VPN الآمنة Tailscale.
- تم تنظيف وحدة mod_http2 من التعليمات البرمجية غير المستخدمة وغير الآمنة.
- يوفر mod_proxy انعكاسًا لمنفذ الشبكة الخلفية في رسائل الخطأ المكتوبة في السجل.
- في mod_heartmonitor، تم تغيير قيمة معلمة HeartbeatMaxServers من 0 إلى 10 (تهيئة 10 فتحات للذاكرة المشتركة).
المصدر: opennet.ru