Издаване на http сървър на Apache 2.4.54 с коригирани уязвимости

Apache HTTP сървърът 2.4.53 беше пуснат, въвеждайки 19 промени и елиминирайки 8 уязвимости:

• CVE-2022-31813 е уязвимост в mod_proxy, която ви позволява да блокирате изпращането на X-Forwarded-* заглавки с информация за IP адреса, от който идва оригиналната заявка. Проблемът може да се използва за заобикаляне на ограниченията за достъп въз основа на IP адреси.
• CVE-2022-30556 е уязвимост в mod_lua, която позволява достъп до данни извън разпределения буфер чрез манипулиране на функцията r:wsread() в Lua скриптове.
• CVE-2022-30522 – Отказ от услуга (изчерпване на наличната памет) при обработка на определени данни от модула mod_sed.
• CVE-2022-29404 е отказ на услуга в mod_lua, експлоатиран чрез изпращане на специално изработени заявки до манипулатори на Lua, използвайки повикването r:parsebody(0).
• CVE-2022-28615, CVE-2022-28614 – Отказ на услуга или достъп до данни в паметта на процеса поради грешки във функциите ap_strcmp_match() и ap_rwrite(), което води до четене от област извън границата на буфера.
• CVE-2022-28330 – Изтичане на информация от буферни области извън границите в mod_isapi (проблемът възниква само на платформата Windows).
• CVE-2022-26377 - Модулът mod_proxy_ajp е податлив на HTTP Request Smuggling атаки на преден и бек-енд системи, което му позволява да се промъкне в съдържанието на заявки на други потребители, обработвани в една и съща нишка между предния край и бек-енд.

Най-забележителните промени, които не са свързани със сигурността:

• mod_ssl прави режима SSLFIPS съвместим с OpenSSL 3.0.
• Помощната програма ab поддържа TLSv1.3 (изисква свързване със SSL библиотека, която поддържа този протокол).
• В mod_md директивата MDCertificateAuthority позволява повече от едно CA име и URL. Добавени са нови директиви: MDRetryDelay (дефинира забавянето преди изпращане на заявка за повторен опит) и MDRetryFailover (дефинира броя повторни опити в случай на неуспех, преди да се избере алтернативен сертифициращ орган). Добавена е поддръжка за състоянието "автоматично" при извеждане на стойности във формат "ключ: стойност". Осигурена възможност за управление на сертификати за потребителите на защитената VPN мрежа Tailscale.
• Модулът mod_http2 е почистен от неизползван и опасен код.
• mod_proxy гарантира, че портът на задната мрежа се отразява в съобщенията за грешка, записани в журнала.
• В mod_heartmonitor стойността на параметъра HeartbeatMaxServers е променена от 0 на 10 (инициализиране на 10 слота за споделена памет).

Източник: opennet.ru