Die Veröffentlichung von Apache HTTP Server 2.4.53 wurde veröffentlicht, die 14 Änderungen einführt und 4 Schwachstellen behebt:
- CVE-2022-22720 – die Möglichkeit, einen HTTP-Request-Smuggling-Angriff durchzuführen, der es ermöglicht, durch das Senden speziell entwickelter Client-Anfragen in den Inhalt der über mod_proxy übermittelten Anfragen anderer Benutzer einzudringen (Sie können beispielsweise die Ersetzung durch böswillige erreichen). JavaScript-Code in die Sitzung eines anderen Benutzers der Website einfügen). Das Problem wird dadurch verursacht, dass eingehende Verbindungen offen bleiben, nachdem bei der Verarbeitung eines ungültigen Anforderungstexts Fehler aufgetreten sind.
- CVE-2022-23943 – Ein Pufferüberlauf im mod_sed-Modul, der das Überschreiben des Inhalts des Heap-Speichers mit vom Angreifer kontrollierten Daten ermöglicht.
- CVE-2022-22721 – Schreiben außerhalb der Grenzen aufgrund eines Ganzzahlüberlaufs, der auftritt, wenn ein Anforderungstext übergeben wird, der größer als 350 MB ist. Das Problem tritt auf 32-Bit-Systemen auf, in deren Einstellungen der LimitXMLRequestBody-Wert zu hoch eingestellt ist (standardmäßig 1 MB, für einen Angriff muss das Limit höher als 350 MB sein).
- CVE-2022-22719 ist eine Schwachstelle in mod_lua, die das Lesen zufälliger Speicherbereiche und den Absturz des Prozesses bei der Verarbeitung eines speziell gestalteten Anforderungstexts ermöglicht. Das Problem wird durch die Verwendung nicht initialisierter Werte im Funktionscode r:parsebody verursacht.
Die bemerkenswertesten nicht sicherheitsrelevanten Änderungen sind:
- In mod_proxy wurde die Begrenzung der Zeichenanzahl im Namen des Handlers (Workers) erhöht. Es wurde die Möglichkeit hinzugefügt, Timeouts für das Backend und Frontend selektiv zu konfigurieren (z. B. in Bezug auf einen Worker). Für Anfragen, die über Websockets oder die CONNECT-Methode gesendet werden, wurde das Timeout auf den für Backend und Frontend festgelegten Maximalwert geändert.
- Getrennte Handhabung des Öffnens von DBM-Dateien und des Ladens des DBM-Treibers. Im Falle eines Absturzes zeigt das Protokoll jetzt detailliertere Informationen zum Fehler und zum Treiber an.
- mod_md hat die Verarbeitung von Anfragen an /.well-known/acme-challenge/ gestoppt, es sei denn, die Domäneneinstellungen haben die Verwendung des Challenge-Typs „http-01“ ausdrücklich aktiviert.
- mod_dav hat eine Regression behoben, die bei der Verarbeitung einer großen Anzahl von Ressourcen zu einem hohen Speicherverbrauch führte.
- Es wurde die Möglichkeit hinzugefügt, die Bibliothek pcre2 (10.x) anstelle von pcre (8.x) für die Verarbeitung regulärer Ausdrücke zu verwenden.
- Den Abfragefiltern wurde Unterstützung für die LDAP-Anomalieanalyse hinzugefügt, um Daten korrekt zu überprüfen, wenn versucht wird, LDAP-Ersetzungsangriffe durchzuführen.
- In mpm_event wurde ein Deadlock behoben, der beim Neustart oder beim Überschreiten des MaxConnectionsPerChild-Limits auf hochbelasteten Systemen auftritt.
Source: opennet.ru