ProHoster > Blog > actualités internet > Sortie du serveur http Apache 2.4.53 avec élimination des vulnérabilités dangereuses

Sortie du serveur http Apache 2.4.53 avec élimination des vulnérabilités dangereuses

Le serveur HTTP Apache 2.4.53 a été publié, introduisant 14 modifications et éliminant 4 vulnérabilités :

  • CVE-2022-22720 - la possibilité de mener une attaque « HTTP Request Smuggling », qui permet, en envoyant des requêtes clients spécialement conçues, de s'introduire dans le contenu des requêtes d'autres utilisateurs transmises via mod_proxy (par exemple, vous pouvez atteindre le insertion de code JavaScript malveillant dans la session d'un autre utilisateur du site). Le problème est dû au fait que les connexions entrantes restent ouvertes après que des erreurs se produisent lors du traitement d'un corps de requête non valide.
  • CVE-2022-23943 Un débordement de tampon dans le module mod_sed permet d'écraser le contenu de la mémoire tas par des données contrôlées par un attaquant.
  • CVE-2022-22721 Il existe une possibilité d'écriture hors limites en raison d'un dépassement d'entier qui se produit lors du passage d'un corps de requête supérieur à 350 Mo. Le problème apparaît sur les systèmes 32 bits dans les paramètres desquels la valeur LimitXMLRequestBody est trop élevée (par défaut 1 Mo, pour une attaque la limite doit être supérieure à 350 Mo).
  • CVE-2022-22719 est une vulnérabilité dans mod_lua qui permet des lectures aléatoires de mémoire et un crash de processus lors du traitement d'un corps de requête spécialement conçu. Le problème est dû à l'utilisation de valeurs non initialisées dans le code de la fonction r:parsebody.

Les changements non liés à la sécurité les plus notables :

  • Dans mod_proxy, la limite du nombre de caractères dans le nom du travailleur (worker) a été augmentée. Ajout de la possibilité de configurer de manière sélective les délais d'attente pour le backend et le frontend (par exemple, en connexion avec un travailleur). Pour les requêtes envoyées via websockets ou la méthode CONNECT, le délai d'attente a été modifié à la valeur maximale définie pour le backend et le frontend.
  • Le traitement de l'ouverture des fichiers DBM et du chargement du pilote DBM a été séparé. En cas de panne, le journal affiche désormais des informations plus détaillées sur l'erreur et le pilote.
  • mod_md a arrêté de traiter les requêtes vers /.well-known/acme-challenge/ à moins que les paramètres du domaine n'aient explicitement activé l'utilisation du type de vérification 'http-01'.
  • Mod_dav a corrigé une régression qui entraînait une consommation élevée de mémoire lors de la gestion d'un grand nombre de ressources.
  • Ajout de la possibilité d'utiliser la bibliothèque pcre2 (10.x) au lieu de pcre (8.x) pour traiter les expressions régulières.
  • La prise en charge de l'analyse des anomalies pour le protocole LDAP a été ajoutée pour demander aux filtres de filtrer correctement les données lors de tentatives d'attaques de substitution LDAP.
  • Dans mpm_event, un blocage qui se produit lors du redémarrage ou du dépassement de la limite MaxConnectionsPerChild sur les systèmes fortement chargés a été éliminé.

Source: opennet.ru

Ajouter un commentaire