Die Veröffentlichung des HTTP-Servers Apache 2.4.53 enthält 14 Änderungen und behebt 4 Sicherheitsanfälligkeiten:
- CVE-2022-22720 – Eine Sicherheitsanfälligkeit für "HTTP Request Smuggling", die es ermöglicht, durch das Senden speziell gestalteter Client-Anfragen in den Inhalt anderer Benutzeranfragen, die über mod_proxy übertragen werden, einzudringen (z. B. kann schadhafter JavaScript-Code in die Sitzung eines anderen Benutzers eingefügt werden). Das Problem tritt auf, weil eingehende Verbindungen nach Fehlern bei der Verarbeitung fehlerhafter Anfragekörper offen bleiben.
- CVE-2022-23943 – Ein Buffer Overflow im mod_sed-Modul, der es dem Angreifer ermöglicht, den Speicherinhalt des Heaps mit kontrollierten Daten zu überschreiben.
- CVE-2022-22721 – Eine Möglichkeit zum Schreiben außerhalb des Puffers aufgrund einer Ganzzahlüberlauf, der beim Übertragen von Anfrageinhalten größer als 350 MB auftritt. Das Problem tritt auf 32-Bit-Systemen auf, deren LimitXMLRequestBody-Wert zu hoch eingestellt ist (standardmäßig 1 MB, für den Angriff muss das Limit über 350 MB liegen).
- CVE-2022-22719 — eine Schwachstelle in mod_lua, die die Möglichkeit bietet, zufällige Speicherbereiche zu lesen und den Prozess beim Verarbeiten eines speziell gestalteten Anfragekörpers zum Absturz zu bringen. Das Problem wird durch die Verwendung nicht initialisierter Werte im Code der Funktion r:parsebody verursacht.
Die bemerkenswertesten Änderungen, die nicht sicherheitsrelevant sind:
- In mod_proxy wurde das Zeichenlimit für den Namen des Handlers (worker) erhöht. Es wurde die Möglichkeit hinzugefügt, die Timeout-Einstellungen für Backend und Frontend gezielt anzupassen (zum Beispiel in Bezug auf den spezifischen Worker). Für Anfragen, die über Websockets oder die Methode CONNECT gesendet werden, wurde die Timeout-Dauer auf den maximalen Wert gesetzt, der für das Backend und das Frontend festgelegt ist.
- Die Verarbeitung des Öffnens von DBM-Dateien und das Laden des DBM-Treibers wurden getrennt. Im Falle eines Fehlers im Log werden nun detailliertere Informationen über den Fehler und den Treiber angezeigt.
- In mod_md wird die Bearbeitung von Anfragen an /.well-known/acme-challenge/ eingestellt, sofern in den Einstellungen nicht ausdrücklich die Verwendung des Überprüfungstyps 'http-01' aktiviert ist. Nach Abschluss des Transfers kann die Domain auf unser Hosting gerichtet werden. In mod_dav wurde eine rückläufige Änderung behoben, die zu einem hohen Speicherverbrauch beim Verarbeiten einer großen Anzahl von Ressourcen führte.
- In mod_dav wurde eine rückschrittliche Änderung behoben, die zu einem hohen Speicherverbrauch beim Verarbeiten einer großen Anzahl von Ressourcen führt.
- Die Möglichkeit zur Nutzung der pcre2-Bibliothek (10.x) anstelle von pcre (8.x) für die Verarbeitung von regulären Ausdrücken wurde hinzugefügt.
- Die Anfragesfilter unterstützen jetzt die Analyse von Anomalien für das LDAP-Protokoll, um eine korrekte Escape-Sequenzierung der Daten bei Versuchen von LDAP-Injection-Angriffen zu gewährleisten.
- In mpm_event wurde ein Deadlock behoben, der beim Neustart oder Überschreiten des Limits MaxConnectionsPerChild in stark ausgelasteten Systemen auftrat.
Quelle: opennet.ru
