Es wurde die HTTP-Serverversion Apache 2.4.53 veröffentlicht, die 19 Änderungen aufweist und 8 Schwachstellen behebt:
- CVE-2022-31813 ist eine Schwachstelle in mod_proxy, die das Senden von X-Forwarded-*-Headern mit Informationen über die IP-Adresse, von der die ursprüngliche Anfrage kam, blockieren kann. Das Problem kann genutzt werden, um Zugriffsbeschränkungen basierend auf IP-Adressen zu umgehen.
- CVE-2022-30556 ist eine Schwachstelle in mod_lua, die den Zugriff auf Daten außerhalb des zugewiesenen Puffers durch Manipulationen mit der Funktion r:wsread() in Lua-Skripten ermöglicht.
- CVE-2022-30522 – Denial of Service (nicht genügend verfügbarer Speicher) während der Verarbeitung bestimmter Daten durch mod_sed.
- CVE-2022-29404 – mod_lua-Denial-of-Service wird ausgenutzt, indem speziell gestaltete Anfragen mithilfe des r:parsebody(0)-Aufrufs an Lua-Handler gesendet werden.
- CVE-2022-28615, CVE-2022-28614 – Dienstverweigerung oder Zugriff auf Daten im Prozessspeicher aufgrund von Fehlern in den Funktionen ap_strcmp_match() und ap_rwrite(), was zum Lesen aus einem Bereich außerhalb der Puffergrenze führt.
- CVE-2022-28330 – Informationsleck außerhalb der Grenzen in mod_isapi (Problem tritt nur auf der Windows-Plattform auf).
- CVE-2022-26377 – Das mod_proxy_ajp-Modul ist anfällig für „HTTP Request Smuggling“-Angriffe auf Front-End-Back-End-Systeme, die es ermöglichen, dass der Inhalt von Anfragen anderer Benutzer, die im selben Thread verarbeitet werden, zwischen Front-End und Back-End übertragen wird -In.
Die bemerkenswertesten nicht sicherheitsrelevanten Änderungen sind:
- mod_ssl macht den SSLFIPS-Modus mit OpenSSL 3.0 kompatibel.
- Das ab-Dienstprogramm implementiert die Unterstützung für TLSv1.3 (erfordert die Bindung an eine SSL-Bibliothek, die dieses Protokoll unterstützt).
- In mod_md lässt die MDCertificateAuthority-Direktive mehr als einen CA-Namen und eine URL zu. Neue Anweisungen hinzugefügt: MDRetryDelay (definiert die Verzögerung vor dem Senden einer Wiederholungsanforderung) und MDRetryFailover (definiert die Anzahl der Wiederholungen im Fehlerfall, bevor eine alternative Zertifizierungsstelle ausgewählt wird). Unterstützung für den „Auto“-Status bei der Anzeige von Werten im „Schlüssel:Wert“-Format hinzugefügt. Bietet die Möglichkeit, Zertifikate für sichere Tailscale-VPN-Benutzer zu verwalten.
- Das Modul mod_http2 wurde von ungenutztem und unsicherem Code befreit.
- mod_proxy spiegelt den Back-End-Netzwerkport in Fehlermeldungen wider, die in das Protokoll geschrieben werden.
- In mod_heartmonitor wurde der Wert des Parameters HeartbeatMaxServers von 0 auf 10 geändert (Initialisierung von 10 Shared-Memory-Slots).
Source: opennet.ru