ProHoster > Blog > noticias de internet > Versión do servidor http Apache 2.4.54 con vulnerabilidades corrixidas

Versión do servidor http Apache 2.4.54 con vulnerabilidades corrixidas

Publicouse a versión do servidor HTTP Apache 2.4.53, que presenta 19 cambios e solucionou 8 vulnerabilidades:

  • CVE-2022-31813 é unha vulnerabilidade en mod_proxy que pode bloquear o envío de cabeceiras X-Forwarded-* con información sobre o enderezo IP do que procede a solicitude orixinal. O problema pódese usar para evitar as restricións de acceso baseadas nos enderezos IP.
  • CVE-2022-30556 é unha vulnerabilidade en mod_lua que permite o acceso a datos fóra do búfer asignado mediante manipulacións coa función r:wsread() nos scripts Lua.
  • CVE-2022-30522: denegación de servizo (sen memoria dispoñible) mentres se procesan determinados datos mediante mod_sed.
  • CVE-2022-29404: denegación de servizo mod_lua explotada ao enviar solicitudes especialmente elaboradas aos manejadores de Lua mediante a chamada r:parsebody(0).
  • CVE-2022-28615, CVE-2022-28614: denegación de servizo ou acceso a datos na memoria do proceso debido a erros nas funcións ap_strcmp_match() e ap_rwrite(), que orixinan lecturas desde unha rexión fóra do límite do búfer.
  • CVE-2022-28330: fuga de información fóra dos límites en mod_isapi (o problema só aparece na plataforma Windows).
  • CVE-2022-26377: o módulo mod_proxy_ajp é susceptible de ataques de "contrabando de solicitudes HTTP" en sistemas front-end-backend que permiten que o contido das solicitudes doutros usuarios procesadas no mesmo fío entre o front-end e o back-end se cuña -en.

Os cambios non relacionados coa seguridade máis salientables son:

  • mod_ssl fai que o modo SSLFIPS sexa compatible con OpenSSL 3.0.
  • A utilidade ab implementa compatibilidade con TLSv1.3 (require vinculación a unha biblioteca SSL que admita este protocolo).
  • En mod_md, a directiva MDCertificateAuthority permite máis dun nome e URL de CA. Engadíronse novas directivas: MDRetryDelay (define o atraso antes de enviar unha solicitude de reintento) e MDRetryFailover (define o número de reintentos en caso de falla antes de escoller unha CA alternativa). Engadido soporte para o estado "automático" cando se mostran valores no formato "clave: valor". Proporcionou a capacidade de xestionar certificados para os usuarios de VPN seguras de Tailscale.
  • O módulo mod_http2 foi limpo de código non utilizado e inseguro.
  • mod_proxy proporciona o reflexo do porto de rede do backend nas mensaxes de erro escritas no rexistro.
  • En mod_heartmonitor, o valor do parámetro HeartbeatMaxServers cambiouse de 0 a 10 (inicialización de 10 slots de memoria compartida).

Fonte: opennet.ru

Engadir un comentario