È stato rilasciato il server Apache HTTP 2.4.53 che introduce 19 modifiche ed elimina 8 vulnerabilità:
- CVE-2022-31813 è una vulnerabilità in mod_proxy che consente di bloccare l'invio di intestazioni X-Forwarded-* con informazioni sull'indirizzo IP da cui proviene la richiesta originale. Il problema può essere utilizzato per aggirare le restrizioni di accesso basate sugli indirizzi IP.
- CVE-2022-30556 è una vulnerabilità in mod_lua che consente l'accesso ai dati all'esterno del buffer allocato attraverso la manipolazione della funzione r:wsread() negli script Lua.
- CVE-2022-30522 – Denial of service (esaurimento della memoria disponibile) durante l'elaborazione di determinati dati da parte del modulo mod_sed.
- CVE-2022-29404 è un Denial of Service in mod_lua sfruttato inviando richieste appositamente predisposte ai gestori Lua utilizzando la chiamata r:parsebody(0).
- CVE-2022-28615, CVE-2022-28614 – Denial of service o accesso ai dati nella memoria del processo a causa di errori nelle funzioni ap_strcmp_match() e ap_rwrite(), con conseguente lettura da un'area oltre il limite del buffer.
- CVE-2022-28330 - Perdita di informazioni dalle aree buffer fuori dai limiti in mod_isapi (il problema si verifica solo sulla piattaforma Windows).
- CVE-2022-26377 – Il modulo mod_proxy_ajp è suscettibile agli attacchi HTTP Request Smuggling sui sistemi frontend-backend, che gli consentono di introdursi di nascosto nei contenuti delle richieste di altri utenti elaborate nello stesso thread tra frontend e backend.
Le modifiche più importanti non legate alla sicurezza:
- mod_ssl rende la modalità SSLFIPS compatibile con OpenSSL 3.0.
- L'utilità ab supporta TLSv1.3 (richiede il collegamento con una libreria SSL che supporta questo protocollo).
- In mod_md, la direttiva MDCertificateAuthority consente più di un nome CA e URL. Sono state aggiunte nuove direttive: MDRetryDelay (definisce il ritardo prima di inviare una richiesta di nuovo tentativo) e MDRetryFailover (definisce il numero di tentativi in caso di fallimento prima di scegliere un'autorità di certificazione alternativa). Aggiunto il supporto per lo stato "auto" durante l'emissione di valori nel formato "chiave: valore". Fornita la possibilità di gestire i certificati per gli utenti della rete VPN sicura Tailscale.
- Il modulo mod_http2 è stato ripulito dal codice inutilizzato e non sicuro.
- mod_proxy garantisce che la porta di rete backend si rifletta nei messaggi di errore scritti nel registro.
- In mod_heartmonitor, il valore del parametro HeartbeatMaxServers è stato modificato da 0 a 10 (inizializzando 10 slot di memoria condivisa).
Fonte: opennet.ru