Megjelent az Apache 2.4.53 HTTP-szerver kiadása, amely 19 változtatást és 8 biztonsági rést javított:
- A CVE-2022-31813 a mod_proxy egyik biztonsági rése, amely lehetővé teszi az X-Forwarded-* fejlécek küldésének blokkolását az eredeti kérés IP-címére vonatkozó információkkal. A probléma az IP-címeken alapuló hozzáférési korlátozások megkerülésére használható.
- A CVE-2022-30556 a mod_lua biztonsági rése, amely a Lua-parancsfájlok r:wsread() függvényének manipulálásával lehetővé teszi a lefoglalt pufferen kívüli adatok elérését.
- CVE-2022-30522 – Szolgáltatásmegtagadás (az elérhető memória kimerülése), amikor bizonyos adatokat dolgoz fel a mod_sed modul.
- A CVE-2022-29404 egy szolgáltatásmegtagadás a mod_lua-ban, amelyet úgy használnak ki, hogy speciálisan kialakított kéréseket küldenek a Lua-kezelőknek az r:parsebody(0) hívás használatával.
- CVE-2022-28615, CVE-2022-28614 – Szolgáltatásmegtagadás vagy a folyamatmemóriában lévő adatokhoz való hozzáférés megtagadása az ap_strcmp_match() és ap_rwrite() függvények hibái miatt, ami a pufferhatáron túli területről történő olvasást eredményez.
- CVE-2022-28330 – Információszivárgás a mod_isapi határokon kívüli pufferterületeiről (a probléma csak Windows platformon jelentkezik).
- CVE-2022-26377 – A mod_proxy_ajp modul érzékeny a HTTP Request Smuggling támadásokra a frontend-backend rendszereken, ami lehetővé teszi, hogy becsempészje magát más felhasználók kéréseinek tartalmába, amelyeket ugyanabban a szálban dolgoznak fel a frontend és a háttérrendszer között.
A legjelentősebb nem biztonsági változások a következők:
- A mod_ssl kompatibilissé teszi az SSLFIPS módot az OpenSSL 3.0-val.
- Az ab segédprogram támogatja a TLSv1.3-at (egy olyan SSL-könyvtárhoz kell kapcsolni, amely támogatja ezt a protokollt).
- A mod_md-ben az MDCertificateAuthority direktíva egynél több CA nevet és URL-t engedélyez. Új direktívák kerültek hozzáadásra: MDRetryDelay (meghatározza az újrapróbálkozási kérés elküldésének késleltetését) és MDRetryFailover (meghatározza az újrapróbálkozások számát sikertelenség esetén, mielőtt alternatív hitelesítési hatóságot választana). Hozzáadott támogatás az "auto" állapothoz, amikor az értékeket "kulcs: érték" formátumban adják ki. Lehetővé teszi a tanúsítványok kezelését a Tailscale biztonságos VPN-hálózat felhasználói számára.
- A mod_http2 modult megtisztították a nem használt és nem biztonságos kódtól.
- A mod_proxy biztosítja, hogy a háttérhálózati port tükröződjön a naplóba írt hibaüzenetekben.
- A mod_heartmonitorban a HeartbeatMaxServers paraméter értéke 0-ról 10-re módosult (10 megosztott memóriahely inicializálása).
Forrás: opennet.ru