Издаване на http сървър на Apache 2.4.53 с коригирани опасни уязвимости

Apache HTTP сървърът 2.4.53 беше пуснат, въвеждайки 14 промени и елиминирайки 4 уязвимости:

• CVE-2022-22720 - възможността за извършване на атака „HTTP Request Smuggling“, която позволява чрез изпращане на специално проектирани клиентски заявки да се проникне в съдържанието на заявки от други потребители, предадени чрез mod_proxy (например, можете да постигнете вмъкване на злонамерен JavaScript код в сесията на друг потребител на сайта). Проблемът е причинен от оставянето на входящите връзки отворени след възникване на грешки при обработката на невалидно тяло на заявка.
• CVE-2022-23943 Препълването на буфера в модула mod_sed позволява съдържанието на паметта да бъде презаписано с данни, контролирани от нападателя.
• CVE-2022-22721 Възможно е записване извън границите поради целочислено препълване, което възниква при предаване на тяло на заявка, по-голямо от 350 MB. Проблемът се появява на 32-битови системи, в настройките на които стойността LimitXMLRequestBody е зададена твърде висока (по подразбиране 1 MB, за атака ограничението трябва да е по-високо от 350 MB).
• CVE-2022-22719 е уязвимост в mod_lua, която позволява произволни четения на паметта и срив на процеса при обработка на специално изработено тяло на заявка. Проблемът е причинен от използването на неинициализирани стойности в кода на функцията r:parsebody.

Най-забележителните промени, които не са свързани със сигурността:

• В mod_proxy ограничението за броя знаци в името на работника (работника) е увеличено. Добавена е възможност за селективно конфигуриране на изчакване за бекенда и предния край (например във връзка с работник). За заявки, изпратени чрез websockets или метода CONNECT, времето за изчакване е променено на максималната стойност, зададена за бекенда и предния край.
• Обработката на отваряне на DBM файлове и зареждане на DBM драйвера е разделена. В случай на повреда дневникът вече показва по-подробна информация за грешката и драйвера.
• mod_md е спрял да обработва заявки към /.well-known/acme-challenge/, освен ако настройките на домейна изрично не са разрешили използването на типа проверка „http-01“.
• Mod_dav коригира регресия, която причинява висока консумация на памет при работа с голям брой ресурси.
• Добавена е възможност за използване на библиотеката pcre2 (10.x) вместо pcre (8.x) за обработка на регулярни изрази.
• Добавена е поддръжка за анализ на аномалии за протокола LDAP, за да се изискват филтри за правилно скриниране на данни при опит за извършване на атаки за заместване на LDAP.
• В mpm_event блокировката, която възниква при рестартиране или превишаване на лимита MaxConnectionsPerChild при силно натоварени системи, е елиминирана.

Източник: opennet.ru