Апублікаваны рэліз HTTP-сервера Apache 2.4.53, у якім прадстаўлена 19 змен і ўхілена 8 уразлівасцяў:
- CVE-2022-31813 – уразлівасць у mod_proxy, якая дазваляе блакаваць адпраўку загалоўкаў X-Forwarded-* з інфармацыяй аб IP-адрасе, з якога паступіў першапачатковых запыт. Праблема можа быць выкарыстана для абыходу абмежаванняў доступу па IP-адрасам.
- CVE-2022-30556 - уразлівасць у mod_lua, якая дазваляе атрымаць доступ да дадзеных за межамі вылучанага буфера праз маніпуляцыі з функцыяй r:wsread() у Lua-скрыптах.
- CVE-2022-30522 – адмова ў абслугоўванні (вычарпанне даступнай памяці) пры апрацоўцы вызначаных дадзеных модулем mod_sed.
- CVE-2022-29404 - адмова ў абслугоўванні ў mod_lua, які эксплуатуецца праз адпраўку спецыяльнай аформленых запытаў Lua-апрацоўшчыкам, якія выкарыстоўваюць выклік r:parsebody(0).
- CVE-2022-28615, CVE-2022-28614 - адмова ў абслугоўванні або атрыманне доступу да дадзеных у памяці працэсу з-за памылак у функцыях ap_strcmp_match() і ap_rwrite(), якія прыводзяць да чытання з вобласці за мяжой буфера.
- CVE-2022-28330 – уцечка інфармацыі з абласцей па-за межамі буфера ў mod_isapi (праблема выяўляецца толькі на платформе Windows).
- CVE-2022-26377 - модуль mod_proxy_ajp схільны нападам класа «HTTP Request Smuggling» на сістэмы фронтэнд-бэкенд, якія дазваляюць укліньвацца ў змесціва запытаў іншых карыстачоў, апрацоўваных у тым жа струмені паміж фронтэндам і бэкэндам.
Найбольш прыкметныя змены, не звязаныя з бяспекай:
- У mod_ssl забяспечана сумяшчальнасць рэжыму SSLFIPS з OpenSSL 3.0.
- Ва ўтыліце ab рэалізавана падтрымка TLSv1.3 (патрабуецца звязванне з SSL-бібліятэкай, якая падтрымлівае дадзены пратакол).
- У mod_md у дырэктыве MDCertificateAuthority дазволена выкарыстанне больш аднаго імя і URL які сведчыць цэнтра. Дададзены новыя дырэктывы: MDRetryDelay (вызначае затрымку перад адпраўкай паўторнага запыту) і MDRetryFailover (вызначае колькасць паўторных спроб у выпадку збою перад выбарам альтэрнатыўнага які сведчыць цэнтра). Дададзена падтрымка стану "auto" пры вывадзе значэнняў у фармаце "key: value". Прадастаўлена магчымасць кіравання сертыфікатамі для карыстальнікаў абароненай VPN-сеткі Tailscale.
- Праведзена чыстка модуля mod_http2 ад невыкарыстоўванага і небяспечнага кода.
- У mod_proxy забяспечана адлюстраванне сеткавага порта бэкенда ў паведамленнях пра памылкі, якія запісваюцца ў лог.
- У mod_heartmonitor значэнне параметру HeartbeatMaxServers зменена з 0 да 10 (ініцыялізацыі 10 слотаў падзялянай памяці).
Крыніца: opennet.ru