Апублікаваны рэліз HTTP-сервера Apache 2.4.53, у якім прадстаўлена 14 змен і ўхілена 4 уразлівасці:
- CVE-2022-22720 – магчымасць здзяйснення нападу «HTTP Request Smuggling», якая дазваляе праз адпраўку спецыяльна аформленых кліенцкіх запытаў укліньвацца ў змесціва запытаў іншых карыстальнікаў, якія перадаюцца праз mod_proxy (напрыклад, можна дамагчыся падстаноўкі шкоднаснага JavaScript-кода ў сеанс іншага карыстальніка сайта). Праблема выклікана пакіданнем адкрытымі ўваходзячых злучэнняў пасля ўзнікнення памылак пры апрацоўцы некарэктнага цела запыту.
- CVE-2022-23943 - перапаўненне буфера ў модулі mod_sed, якое дазваляе перазапісаць змесціва памяці кучы дадзенымі, кантраляванымі атакавалым.
- CVE-2022-22721 - магчымасць запісу за мяжу буфера з-за цэлалікавага перапаўнення, які ўзнікае пры перадачы цела запыту памерам больш за 350МБ. Праблема выяўляецца на 32-разрадных сістэмах у наладах якіх выстаўлена занадта вялікае значэнне LimitXMLRequestBody (па змаўчанні 1 МБ, для нападу ліміт павінен быць вышэй 350 МБ).
- CVE-2022-22719 - уразлівасць у mod_lua, якая дазваляе дамагчыся чытанні выпадковых абласцей памяці і краху працэсу пры апрацоўцы спецыяльна аформленага цела запыту. Праблема выклікана выкарыстаннем неініцыялізаваных значэнняў у кодзе функцыі r:parsebody.
Найбольш прыкметныя змены, не звязаныя з бяспекай:
- У mod_proxy падвышаны ліміт на лік знакаў у імі апрацоўшчыка (worker). Дададзена магчымасць выбарачнай наладкі таймаўтаў для бэкенда і фронтэнда (напрыклад, у прывязцы да worker-у). Для запытаў, якія перадаюцца праз websockets або метад CONNECT, час таймаўту зменена на максімальнае значэнне, выстаўленае для бэкэнда і фронтэнда.
- Раздзелена апрацоўка адкрыцця DBM-файлаў і загрузкі DBM-драйвера. У выпадку збою ў логу зараз адлюстроўваюцца больш дэталёвыя звесткі аб памылцы і драйверы.
- У mod_md спынена апрацоўка запытаў да /.well-known/acme-challenge/, калі ў наладах дамена відавочна не ўключана выкарыстанне тыпу праверкі 'http-01'.
- У mod_dav ухілена рэгрэсіўная змена, якое прыводзіць да вялікага спажывання памяці пры апрацоўцы вялікай колькасці рэсурсаў.
- Дададзена магчымасць выкарыстання бібліятэкі pcre2 (10.x) замест pcre (8.x) для апрацоўкі рэгулярных выразаў.
- У фільтры запытаў дададзена падтрымка аналізу анамалій для пратаколу LDAP для карэктнага экранавання дадзеных пры спробе здзяйснення нападаў па падстаноўцы LDAP-канструкцый.
- У mpm_event ухіленая ўзаемная блакіроўка, якая ўзнікае пры пепезапуску або перавышэнні ліміту MaxConnectionsPerChild на высоканагружаных сістэм.
Крыніца: opennet.ru