ProHoster > Blog > internetové zprávy > Vydání http serveru Apache 2.4.54 s opravenými chybami zabezpečení

Vydání http serveru Apache 2.4.54 s opravenými chybami zabezpečení

Byl vydán Apache HTTP server 2.4.53, který přináší 19 změn a odstraňuje 8 zranitelností:

  • CVE-2022-31813 je zranitelnost v mod_proxy, která umožňuje zablokovat odesílání hlaviček X-Forwarded-* s informací o IP adrese, ze které přišel původní požadavek. Problém lze použít k obejití omezení přístupu na základě IP adres.
  • CVE-2022-30556 je chyba zabezpečení v mod_lua, která umožňuje přístup k datům mimo přidělenou vyrovnávací paměť prostřednictvím manipulace s funkcí r:wsread() ve skriptech Lua.
  • CVE-2022-30522 – Denial of service (vyčerpání dostupné paměti) při zpracování určitých dat modulem mod_sed.
  • CVE-2022-29404 je odmítnutí služby v mod_lua využívané odesíláním speciálně vytvořených požadavků na obsluhu Lua pomocí volání r:parsebody(0).
  • CVE-2022-28615, CVE-2022-28614 – Odepření služby nebo přístupu k datům v paměti procesu kvůli chybám ve funkcích ap_strcmp_match() a ap_rwrite(), které mají za následek čtení z oblasti za hranicí vyrovnávací paměti.
  • CVE-2022-28330 - Únik informací z oblastí vyrovnávací paměti mimo hranice v mod_isapi (problém se vyskytuje pouze na platformě Windows).
  • CVE-2022-26377 – Modul mod_proxy_ajp je citlivý na útoky HTTP Request Smuggling na frontend-backend systémy, což mu umožňuje propašovat se do obsahu požadavků jiných uživatelů zpracovávaných ve stejném vlákně mezi frontendem a backendem.

Nejpozoruhodnější změny netýkající se zabezpečení jsou:

  • mod_ssl dělá režim SSLFIPS kompatibilní s OpenSSL 3.0.
  • Nástroj ab podporuje TLSv1.3 (vyžaduje propojení s knihovnou SSL, která podporuje tento protokol).
  • V mod_md direktiva MDCertificateAuthority povoluje více než jeden název CA a URL. Byly přidány nové direktivy: MDRetryDelay (definuje prodlevu před odesláním požadavku na opakování) a MDRetryFailover (definuje počet opakování v případě selhání před výběrem alternativní certifikační autority). Přidána podpora pro stav „auto“ při výstupu hodnot ve formátu „klíč: hodnota“. Poskytuje možnost spravovat certifikáty pro uživatele zabezpečené sítě VPN Tailscale.
  • Modul mod_http2 byl vyčištěn od nepoužívaného a nebezpečného kódu.
  • mod_proxy zajišťuje, že se backendový síťový port odráží v chybových zprávách zapsaných do protokolu.
  • V mod_heartmonitor byla hodnota parametru HeartbeatMaxServers změněna z 0 na 10 (inicializuje se 10 slotů sdílené paměti).

Zdroj: opennet.ru

Přidat komentář