Release des HTTP-Servers Apache 2.4.54 mit Behebung von Sicherheitsanfälligkeiten.

Die Version 2.4.53 des HTTP-Servers Apache wurde veröffentlicht, die 19 Änderungen und 8 Schwachstellen umfasst:

  • CVE-2022-31813 — eine Schwachstelle in mod_proxy, die das Senden von X-Forwarded-* Headern mit IP-Adressinformationen des ursprünglichen Anfragenden blockiert. Dieses Problem kann verwendet werden, um IP-basierten Zugriffsrestriktionen zu umgehen.
  • CVE-2022-30556 — eine Schwachstelle in mod_lua, die den Zugriff auf Daten außerhalb des zugewiesenen Puffers über Manipulationen der Funktion r:wsread() in Lua-Skripten ermöglicht.
  • CVE-2022-30522 — ein Denial-of-Service (Speichererschöpfung) beim Verarbeiten bestimmter Daten durch das Modul mod_sed.
  • CVE-2022-29404 — ein Denial-of-Service in mod_lua, ausgenutzt durch das Senden speziell gestalteter Anfragen an Lua-Handler, die den Aufruf r:parsebody(0) verwenden.
  • CVE-2022-28615, CVE-2022-28614 — ein Denial-of-Service oder das Auslesen von Daten aus dem Speicher des Prozesses aufgrund von Fehlern in den Funktionen ap_strcmp_match() und ap_rwrite(), die zu Lesevorgängen außerhalb der Pufferspeicher führen.
  • CVE-2022-28330 — ein Informationsleck aus Bereichen außerhalb der Puffergrenzen in mod_isapi (das Problem tritt nur auf der Windows-Plattform auf).
  • CVE-2022-26377 — Das Modul mod_proxy_ajp ist anfällig für HTTP Request Smuggling-Angriffe auf Frontend-Backend-Systeme, die es Angreifern ermöglichen, in die Inhalte von Anfragen anderer Benutzer einzudringen, die im selben Stream zwischen Frontend und Backend verarbeitet werden.

Die bemerkenswertesten Änderungen, die nicht sicherheitsrelevant sind:

  • In mod_ssl wurde die Kompatibilität des SSLFIPS-Modus mit OpenSSL 3.0 sichergestellt.
  • Das ab-Tool unterstützt jetzt TLSv1.3 (eine Verlinkung mit SSL-einer Bibliothek, die dieses Protokoll unterstützt, ist erforderlich).
  • In mod_md wurde in der Direktive MDCertificateAuthority die Nutzung mehrerer Namen und URLs von Zertifizierungsstellen erlaubt. Neue Direktiven wurden hinzugefügt: MDRetryDelay (legt die Wartezeit vor dem erneuten Senden einer Anfrage fest) und MDRetryFailover (bestimmt die Anzahl der Wiederholungsversuche bei einem Fehlschlag, bevor eine alternative Zertifizierungsstelle ausgewählt wird). Es wurde Unterstützung für den Status „auto“ beim Ausgeben von Werten im Format „key: value“ hinzugefügt. Die Verwaltung von Zertifikaten für geschützte Benutzer wurde ermöglicht. VPN- für das Tailscale-Netzwerk.
  • Der mod_http2 wurde von nicht verwendetem und unsicherem Code bereinigt.
  • In mod_proxy wird der Netzwerkport des Backends in den Fehlermeldungen angezeigt, die im Log aufgezeichnet werden.
  • Im mod_heartmonitor wurde der Parameter HeartbeatMaxServers von 0 auf 10 geändert (Initialisierung von 10 Slots im Shared Memory).

Quelle: opennet.ru

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster