Apache HTTP-serveren 2.4.53 er blevet frigivet, der introducerer 14 ændringer og eliminerer 4 sårbarheder:
- CVE-2022-22720 - muligheden for at udføre et "HTTP Request Smuggling"-angreb, som gør det muligt, ved at sende specialdesignede klientanmodninger, at kile ind i indholdet af anmodninger fra andre brugere, der er transmitteret gennem mod_proxy (f.eks. kan du opnå indsættelse af ondsindet JavaScript-kode i sessionen for en anden bruger af webstedet). Problemet skyldes, at indgående forbindelser efterlades åbne, efter at der opstår fejl under behandling af en ugyldig anmodningstekst.
- CVE-2022-23943 Et bufferoverløb i mod_sed-modulet gør det muligt at overskrive indholdet af heap-hukommelse med hacker-kontrollerede data.
- CVE-2022-22721 Der er en mulig skrivning uden for grænserne på grund af et heltalsoverløb, der opstår, når der sendes en anmodningstekst, der er større end 350 MB. Problemet opstår på 32-bit systemer i de indstillinger, hvor LimitXMLRequestBody værdien er sat for højt (som standard 1 MB, for et angreb skal grænsen være højere end 350 MB).
- CVE-2022-22719 er en sårbarhed i mod_lua, der tillader tilfældige hukommelseslæsninger og et procesnedbrud ved behandling af en specielt udformet anmodningstekst. Problemet er forårsaget af brugen af ikke-initialiserede værdier i r:parsebody-funktionskoden.
De mest bemærkelsesværdige ikke-sikkerhedsmæssige ændringer er:
- I mod_proxy er grænsen for antallet af tegn i navnet på arbejderen (arbejderen) blevet øget. Tilføjet muligheden for selektivt at konfigurere timeouts for backend og frontend (for eksempel i forbindelse med en arbejder). For anmodninger sendt via websockets eller CONNECT-metoden er timeouttiden blevet ændret til den maksimale værdi, der er indstillet for backend og frontend.
- Behandlingen af åbning af DBM-filer og indlæsning af DBM-driveren er blevet adskilt. I tilfælde af en fejl viser loggen nu mere detaljerede oplysninger om fejlen og driveren.
- mod_md er stoppet med at behandle anmodninger til /.well-known/acme-challenge/, medmindre domæneindstillingerne eksplicit har aktiveret brugen af 'http-01'-bekræftelsestypen.
- Mod_dav har rettet en regression, der forårsagede højt hukommelsesforbrug ved håndtering af et stort antal ressourcer.
- Tilføjet muligheden for at bruge pcre2 (10.x) biblioteket i stedet for pcre (8.x) til at behandle regulære udtryk.
- Understøttelse af anomalianalyse for LDAP-protokollen er blevet tilføjet for at anmode om filtre for at screene data korrekt, når man forsøger at udføre LDAP-substitutionsangreb.
- I mpm_event er en deadlock, der opstår ved genstart eller overskridelse af MaxConnectionsPerChild-grænsen på stærkt belastede systemer, blevet elimineret.
Kilde: opennet.ru