Se ha publicado el lanzamiento de Apache HTTP Server 2.4.53, que introduce 14 cambios y corrige 4 vulnerabilidades:
- CVE-2022-22720: la posibilidad de realizar un ataque de contrabando de solicitudes HTTP, que permite, mediante el envío de solicitudes de clientes especialmente diseñadas, introducirse en el contenido de las solicitudes de otros usuarios transmitidas a través de mod_proxy (por ejemplo, puede lograr la sustitución de archivos maliciosos código JavaScript en la sesión de otro usuario del sitio). El problema se debe a dejar abiertas las conexiones entrantes después de encontrar errores al procesar un cuerpo de solicitud no válido.
- CVE-2022-23943: desbordamiento del búfer en el módulo mod_sed que permite sobrescribir el contenido de la memoria del montón con datos controlados por el atacante.
- CVE-2022-22721: Escritura fuera de límites debido a un desbordamiento de enteros que se produce al pasar un cuerpo de solicitud de más de 350 MB. El problema se manifiesta en sistemas de 32 bits en cuya configuración el valor LimitXMLRequestBody está configurado demasiado alto (por defecto 1 MB, para un ataque el límite debe ser superior a 350 MB).
- CVE-2022-22719 es una vulnerabilidad en mod_lua que permite leer áreas de memoria aleatorias y bloquear el proceso al procesar un cuerpo de solicitud especialmente diseñado. El problema se debe al uso de valores no inicializados en el código de la función r:parsebody.
Los cambios no relacionados con la seguridad más notables son:
- En mod_proxy, se ha aumentado el límite en la cantidad de caracteres en el nombre del controlador (trabajador). Se agregó la capacidad de configurar selectivamente tiempos de espera para el backend y el frontend (por ejemplo, en relación con un trabajador). Para las solicitudes enviadas a través de websockets o el método CONNECT, el tiempo de espera se ha cambiado al valor máximo establecido para el backend y el frontend.
- Manejo separado de la apertura de archivos DBM y la carga del controlador DBM. En caso de un accidente, el registro ahora muestra información más detallada sobre el error y el controlador.
- mod_md dejó de procesar solicitudes a /.well-known/acme-challenge/ a menos que la configuración del dominio habilitara explícitamente el uso del tipo de desafío 'http-01'.
- mod_dav solucionó una regresión que causaba un alto consumo de memoria al procesar una gran cantidad de recursos.
- Se agregó la capacidad de usar la biblioteca pcre2 (10.x) en lugar de pcre (8.x) para procesar expresiones regulares.
- Se agregó soporte para el análisis de anomalías LDAP a los filtros de consulta para filtrar correctamente los datos al intentar ataques de sustitución LDAP.
- En mpm_event, se ha solucionado un punto muerto que se produce al reiniciar o exceder el límite MaxConnectionsPerChild en sistemas muy cargados.
Fuente: opennet.ru