Le serveur HTTP Apache 2.4.53 a été publié, introduisant 19 modifications et éliminant 8 vulnérabilités :
- CVE-2022-31813 est une vulnérabilité dans mod_proxy qui vous permet de bloquer l'envoi d'en-têtes X-Forwarded-* avec des informations sur l'adresse IP d'où provient la requête d'origine. Le problème peut être utilisé pour contourner les restrictions d'accès basées sur les adresses IP.
- CVE-2022-30556 est une vulnérabilité dans mod_lua qui permet d'accéder aux données en dehors du tampon alloué via la manipulation de la fonction r:wsread() dans les scripts Lua.
- CVE-2022-30522 – Déni de service (épuisement de la mémoire disponible) lors du traitement de certaines données par le module mod_sed.
- CVE-2022-29404 est un déni de service dans mod_lua exploité en envoyant des requêtes spécialement conçues aux gestionnaires Lua à l'aide de l'appel r:parsebody(0).
- CVE-2022-28615, CVE-2022-28614 – Déni de service ou d'accès aux données dans la mémoire de processus en raison d'erreurs dans les fonctions ap_strcmp_match() et ap_rwrite(), entraînant une lecture à partir d'une zone au-delà de la limite de la mémoire tampon.
- CVE-2022-28330 – Fuite d'informations depuis les zones tampon hors limites dans mod_isapi (le problème ne se produit que sur la plate-forme Windows).
- CVE-2022-26377 – Le module mod_proxy_ajp est sensible aux attaques de contrebande de requêtes HTTP sur les systèmes frontend-backend, ce qui lui permet de se faufiler clandestinement dans le contenu des requêtes d'autres utilisateurs traitées dans le même thread entre le frontend et le backend.
Les changements non liés à la sécurité les plus notables :
- mod_ssl rend le mode SSLFIPS compatible avec OpenSSL 3.0.
- L'utilitaire ab prend en charge TLSv1.3 (nécessite une liaison avec une bibliothèque SSL prenant en charge ce protocole).
- Dans mod_md, la directive MDCertificateAuthority autorise plusieurs noms et URL d'autorité de certification. De nouvelles directives ont été ajoutées : MDRetryDelay (définit le délai avant l'envoi d'une demande de nouvelle tentative) et MDRetryFailover (définit le nombre de tentatives en cas d'échec avant de choisir une autorité de certification alternative). Ajout de la prise en charge de l'état « auto » lors de la sortie de valeurs au format « clé : valeur ». Fourni la possibilité de gérer les certificats pour les utilisateurs du réseau VPN sécurisé Tailscale.
- Le module mod_http2 a été nettoyé du code inutilisé et dangereux.
- mod_proxy garantit que le port réseau backend est reflété dans les messages d'erreur écrits dans le journal.
- Dans mod_heartmonitor, la valeur du paramètre HeartbeatMaxServers a été modifiée de 0 à 10 (initialisation de 10 emplacements mémoire partagés).
Source: opennet.ru