Հրապարակվել է Apache 2.4.53 HTTP սերվերի թողարկումը, որը ներկայացնում է 19 փոփոխություն և ֆիքսված 8 խոցելիություն.
- CVE-2022-31813-ը խոցելիություն է mod_proxy-ում, որը թույլ է տալիս արգելափակել X-Forwarded-* վերնագրերի ուղարկումը IP հասցեի մասին տեղեկություններով, որտեղից ստացվել է սկզբնական հարցումը: Խնդիրը կարող է օգտագործվել IP հասցեների վրա հիմնված մուտքի սահմանափակումները շրջանցելու համար:
- CVE-2022-30556-ը mod_lua-ում խոցելիություն է, որը թույլ է տալիս մուտք գործել տվյալներ հատկացված բուֆերից դուրս՝ Lua սկրիպտներում r:wsread() ֆունկցիայի մանիպուլյացիայի միջոցով:
- CVE-2022-30522 – Ծառայության մերժում (մատչելի հիշողության սպառում) mod_sed մոդուլի կողմից որոշակի տվյալներ մշակելիս:
- CVE-2022-29404-ը mod_lua-ում ծառայության մերժում է, որն օգտագործվում է հատուկ մշակված հարցումներ ուղարկելով Lua մշակողներին՝ օգտագործելով r:parsebody(0) զանգը:
- CVE-2022-28615, CVE-2022-28614 – Ծառայության կամ տվյալների հասանելիության մերժում պրոցեսային հիշողության մեջ ap_strcmp_match() և ap_rwrite() ֆունկցիաների սխալների պատճառով, ինչը հանգեցնում է բուֆերի սահմանից այն կողմ գտնվող տարածքի ընթերցմանը:
- CVE-2022-28330 - Տեղեկատվության արտահոսք բուֆերային տարածքներից դուրս mod_isapi-ում (խնդիրը տեղի է ունենում միայն Windows հարթակում):
- CVE-2022-26377 – Mod_proxy_ajp մոդուլը ենթակա է HTTP Request Smuggling հարձակումների frontend-backend համակարգերի վրա, ինչը թույլ է տալիս իրեն մաքսանենգ ճանապարհով ներթափանցել այլ օգտվողների հարցումների բովանդակության մեջ, որոնք մշակվում են նույն շղթայում ճակատի և հետին մասի միջև:
Ամենաուշագրավ ոչ անվտանգության փոփոխություններն են.
- mod_ssl-ը SSLFIPS ռեժիմը համատեղելի է դարձնում OpenSSL 3.0-ի հետ:
- Ab կոմունալն աջակցում է TLSv1.3-ին (պահանջում է կապակցել SSL գրադարանի հետ, որն աջակցում է այս արձանագրությունը):
- mod_md-ում MDCertificateAuthority հրահանգը թույլ է տալիս մեկից ավելի CA անուն և URL: Ավելացվել են նոր հրահանգներ՝ MDRetryDelay (սահմանում է հետաձգումը մինչև կրկնակի հարցում ուղարկելը) և MDRetryFailover (սահմանում է ձախողման դեպքում կրկնվող փորձերի քանակը՝ նախքան այլընտրանքային հավաստագրման մարմին ընտրելը): Ավելացվել է «ավտո» վիճակի աջակցություն «բանալին: արժեք» ձևաչափով արժեքներ դուրս բերելիս: Ապահովում է Tailscale անվտանգ VPN ցանցի օգտվողների համար վկայագրերը կառավարելու հնարավորություն:
- mod_http2 մոդուլը մաքրվել է չօգտագործված և անվտանգ կոդից:
- mod_proxy-ն ապահովում է, որ backend ցանցի նավահանգիստը արտացոլվի մատյանում գրված սխալի հաղորդագրություններում:
- mod_heartmonitor-ում HeartbeatMaxServers պարամետրի արժեքը փոխվել է 0-ից 10-ի (նախնականացնելով 10 ընդհանուր հիշողության սլոտ):
Source: opennet.ru