Byl vydán Apache HTTP server 2.4.53, který přináší 19 změn a odstraňuje 8 zranitelností:
- CVE-2022-31813 je zranitelnost v mod_proxy, která umožňuje zablokovat odesílání hlaviček X-Forwarded-* s informací o IP adrese, ze které přišel původní požadavek. Problém lze použít k obejití omezení přístupu na základě IP adres.
- CVE-2022-30556 je chyba zabezpečení v mod_lua, která umožňuje přístup k datům mimo přidělenou vyrovnávací paměť prostřednictvím manipulace s funkcí r:wsread() ve skriptech Lua.
- CVE-2022-30522 – Denial of service (vyčerpání dostupné paměti) při zpracování určitých dat modulem mod_sed.
- CVE-2022-29404 je odmítnutí služby v mod_lua využívané odesíláním speciálně vytvořených požadavků na obsluhu Lua pomocí volání r:parsebody(0).
- CVE-2022-28615, CVE-2022-28614 – Odepření služby nebo přístupu k datům v paměti procesu kvůli chybám ve funkcích ap_strcmp_match() a ap_rwrite(), které mají za následek čtení z oblasti za hranicí vyrovnávací paměti.
- CVE-2022-28330 - Únik informací z oblastí vyrovnávací paměti mimo hranice v mod_isapi (problém se vyskytuje pouze na platformě Windows).
- CVE-2022-26377 – Modul mod_proxy_ajp je citlivý na útoky HTTP Request Smuggling na frontend-backend systémy, což mu umožňuje propašovat se do obsahu požadavků jiných uživatelů zpracovávaných ve stejném vlákně mezi frontendem a backendem.
Nejpozoruhodnější změny netýkající se zabezpečení jsou:
- mod_ssl dělá režim SSLFIPS kompatibilní s OpenSSL 3.0.
- Nástroj ab podporuje TLSv1.3 (vyžaduje propojení s knihovnou SSL, která podporuje tento protokol).
- V mod_md direktiva MDCertificateAuthority povoluje více než jeden název CA a URL. Byly přidány nové direktivy: MDRetryDelay (definuje prodlevu před odesláním požadavku na opakování) a MDRetryFailover (definuje počet opakování v případě selhání před výběrem alternativní certifikační autority). Přidána podpora pro stav „auto“ při výstupu hodnot ve formátu „klíč: hodnota“. Poskytuje možnost spravovat certifikáty pro uživatele zabezpečené sítě VPN Tailscale.
- Modul mod_http2 byl vyčištěn od nepoužívaného a nebezpečného kódu.
- mod_proxy zajišťuje, že se backendový síťový port odráží v chybových zprávách zapsaných do protokolu.
- V mod_heartmonitor byla hodnota parametru HeartbeatMaxServers změněna z 0 na 10 (inicializuje se 10 slotů sdílené paměti).
Zdroj: opennet.ru