È stato rilasciato il server Apache HTTP 2.4.53 che introduce 14 modifiche ed elimina 4 vulnerabilità:
- CVE-2022-22720 - la possibilità di effettuare un attacco di “HTTP Request Smuggling”, che consente, attraverso l'invio di richieste client appositamente progettate, di incunearsi nel contenuto delle richieste di altri utenti trasmesse tramite mod_proxy (ad esempio, è possibile ottenere inserimento di codice JavaScript dannoso nella sessione di un altro utente del sito). Il problema è causato dal lasciare aperte le connessioni in entrata dopo che si sono verificati errori durante l'elaborazione di un corpo di richiesta non valido.
- CVE-2022-23943 Un buffer overflow nel modulo mod_sed consente di sovrascrivere il contenuto della memoria heap con dati controllati dall'aggressore.
- CVE-2022-22721 È possibile una scrittura fuori dai limiti a causa di un overflow di numeri interi che si verifica quando si passa un corpo della richiesta più grande di 350 MB. Il problema si presenta sui sistemi a 32 bit nelle cui impostazioni il valore LimitXMLRequestBody è impostato troppo alto (per impostazione predefinita 1 MB, per un attacco il limite deve essere superiore a 350 MB).
- CVE-2022-22719 è una vulnerabilità in mod_lua che consente letture casuali della memoria e un arresto anomalo del processo durante l'elaborazione di un corpo di richiesta appositamente predisposto. Il problema è causato dall'utilizzo di valori non inizializzati nel codice della funzione r:parsebody.
Le modifiche più importanti non legate alla sicurezza:
- In mod_proxy è stato aumentato il limite al numero di caratteri nel nome del lavoratore (lavoratore). Aggiunta la possibilità di configurare selettivamente i timeout per il backend e il frontend (ad esempio, in connessione con un lavoratore). Per le richieste inviate tramite websocket o il metodo CONNECT, il tempo di timeout è stato modificato al valore massimo impostato per backend e frontend.
- L'elaborazione dell'apertura dei file DBM e del caricamento del driver DBM è stata separata. In caso di guasto, il registro ora mostra informazioni più dettagliate sull'errore e sul driver.
- mod_md ha interrotto l'elaborazione delle richieste a /.well-known/acme-challenge/ a meno che le impostazioni del dominio non abbiano abilitato esplicitamente l'uso del tipo di verifica "http-01".
- Mod_dav ha corretto una regressione che causava un elevato consumo di memoria durante la gestione di grandi quantità di risorse.
- Aggiunta la possibilità di utilizzare la libreria pcre2 (10.x) anziché pcre (8.x) per l'elaborazione delle espressioni regolari.
- È stato aggiunto il supporto per l'analisi delle anomalie per il protocollo LDAP per richiedere ai filtri di schermare correttamente i dati quando si tenta di effettuare attacchi di sostituzione LDAP.
- In mpm_event è stato eliminato un deadlock che si verifica quando si riavvia o si supera il limite MaxConnectionsPerChild su sistemi molto caricati.
Fonte: opennet.ru