Δημοσιεύτηκε η έκδοση διακομιστή HTTP Apache 2.4.53, η οποία παρουσιάζει 19 αλλαγές και επιδιορθώθηκαν 8 ευπάθειες:
- Το CVE-2022-31813 είναι μια ευπάθεια στο mod_proxy που σας επιτρέπει να αποκλείσετε την αποστολή κεφαλίδων X-Forwarded-* με πληροφορίες σχετικά με τη διεύθυνση IP από την οποία προήλθε το αρχικό αίτημα. Το πρόβλημα μπορεί να χρησιμοποιηθεί για την παράκαμψη περιορισμών πρόσβασης που βασίζονται σε διευθύνσεις IP.
- Το CVE-2022-30556 είναι μια ευπάθεια στο mod_lua που επιτρέπει την πρόσβαση σε δεδομένα εκτός του εκχωρημένου buffer μέσω χειρισμού της συνάρτησης r:wsread() στα σενάρια Lua.
- CVE-2022-30522 – Άρνηση υπηρεσίας (διαθέσιμη εξάντληση μνήμης) κατά την επεξεργασία ορισμένων δεδομένων από τη μονάδα mod_sed.
- Το CVE-2022-29404 είναι μια άρνηση υπηρεσίας στο mod_lua που αξιοποιείται με την αποστολή ειδικά διαμορφωμένων αιτημάτων στους χειριστές Lua χρησιμοποιώντας την κλήση r:parsebody(0).
- CVE-2022-28615, CVE-2022-28614 – Άρνηση υπηρεσίας ή πρόσβαση σε δεδομένα στη μνήμη διεργασίας λόγω σφαλμάτων στις συναρτήσεις ap_strcmp_match() και ap_rwrite(), με αποτέλεσμα την ανάγνωση από μια περιοχή πέρα από το όριο της προσωρινής μνήμης.
- CVE-2022-28330 - Διαρροή πληροφοριών από περιοχές προσωρινής αποθήκευσης εκτός ορίων στο mod_isapi (το ζήτημα παρουσιάζεται μόνο στην πλατφόρμα των Windows).
- CVE-2022-26377 – Η λειτουργική μονάδα mod_proxy_ajp είναι επιρρεπής σε επιθέσεις λαθρεμπορίου αιτήματος HTTP σε συστήματα frontend-backend, γεγονός που της επιτρέπει να εισέρχεται λαθραία στα περιεχόμενα των αιτημάτων άλλων χρηστών που υποβάλλονται σε επεξεργασία στο ίδιο νήμα μεταξύ του frontend και του backend.
Οι πιο αξιοσημείωτες αλλαγές που δεν αφορούν την ασφάλεια είναι:
- Το mod_ssl κάνει τη λειτουργία SSLFIPS συμβατή με το OpenSSL 3.0.
- Το βοηθητικό πρόγραμμα ab υποστηρίζει TLSv1.3 (απαιτείται σύνδεση με μια βιβλιοθήκη SSL που υποστηρίζει αυτό το πρωτόκολλο).
- Στο mod_md, η οδηγία MDCertificateAuthority επιτρέπει περισσότερα από ένα ονόματα CA και URL. Προστέθηκαν νέες οδηγίες: MDRetryDelay (καθορίζει την καθυστέρηση πριν από την αποστολή αιτήματος επανάληψης δοκιμής) και MDRetryFailover (καθορίζει τον αριθμό των επαναλήψεων σε περίπτωση αποτυχίας πριν από την επιλογή μιας εναλλακτικής αρχής πιστοποίησης). Προστέθηκε υποστήριξη για την "αυτόματη" κατάσταση κατά την έξοδο τιμών στη μορφή "key: value". Παρέχει τη δυνατότητα διαχείρισης πιστοποιητικών για χρήστες του ασφαλούς δικτύου VPN Tailscale.
- Η ενότητα mod_http2 έχει καθαριστεί από αχρησιμοποίητο και μη ασφαλή κώδικα.
- Το mod_proxy διασφαλίζει ότι η θύρα δικτύου υποστήριξης αντικατοπτρίζεται σε μηνύματα σφάλματος που εγγράφονται στο αρχείο καταγραφής.
- Στο mod_heartmonitor, η τιμή της παραμέτρου HeartbeatMaxServers έχει αλλάξει από 0 σε 10 (αρχικοποίηση 10 υποδοχών κοινόχρηστης μνήμης).
Πηγή: opennet.ru