🥇Apache 2.4.53 מהדורת שרת http עם פגיעויות מסוכנות שתוקנו

פורסם המהדורה של Apache HTTP Server 2.4.53, אשר מציג 14 שינויים ומתקן 4 פגיעויות:

CVE-2022-22720 - האפשרות לבצע מתקפת HTTP Request Smuggling, המאפשרת, באמצעות שליחת בקשות לקוח שתוכננו במיוחד, להשתלב בתוכן של בקשות של משתמשים אחרים המועברים באמצעות mod_proxy (לדוגמה, ניתן להשיג החלפה של זדוני קוד JavaScript לתוך ההפעלה של משתמש אחר באתר). הבעיה נגרמת על ידי השארת חיבורים נכנסים פתוחים לאחר נתקל בשגיאות בעת עיבוד גוף בקשה לא חוקי.
CVE-2022-23943 - גלישת חוצץ במודול mod_sed המאפשרת החלפת תוכן זיכרון הערימה בנתונים הנשלטים על ידי תוקף.
CVE-2022-22721 - כתוב מחוץ לתחום עקב הצפת מספרים שלמים המתרחשת בעת העברת גוף בקשה גדול מ-350MB. הבעיה מתבטאת במערכות 32 סיביות שבהגדרות שלהן ערך LimitXMLRequestBody מוגדר גבוה מדי (כברירת מחדל 1 MB, עבור התקפה הגבול חייב להיות גבוה מ-350 MB).
CVE-2022-22719 היא פגיעות ב-mod_lua המאפשרת קריאת אזורי זיכרון אקראיים והריסת התהליך בעת עיבוד גוף בקשה בעל מבנה מיוחד. הבעיה נגרמת על ידי שימוש בערכים לא מאותחלים בקוד הפונקציה r:parsebody.

השינויים הבולטים שאינם ביטחוניים הם:

ב-mod_proxy, הגבלה על מספר התווים בשם המטפל (עובד) הוגדלה. נוספה את היכולת להגדיר באופן סלקטיבי פסקי זמן עבור ה-backend וה-frontend (לדוגמה, ביחס לעובד). עבור בקשות שנשלחות דרך websockets או שיטת CONNECT, הזמן הקצוב השתנה לערך המקסימלי שנקבע עבור ה-backend וה-frontend.
טיפול נפרד בפתיחת קבצי DBM וטעינת מנהל ההתקן של DBM. במקרה של קריסה, היומן מציג כעת מידע מפורט יותר על השגיאה ועל מנהל ההתקן.
mod_md הפסיק לעבד בקשות אל /.well-known/acme-challenge/ אלא אם הגדרות הדומיין אפשרו במפורש את השימוש בסוג האתגר 'http-01'.
mod_dav תיקן רגרסיה שגרמה לצריכת זיכרון גבוהה בעת עיבוד מספר רב של משאבים.
נוספה את היכולת להשתמש בספריית pcre2 (10.x) במקום pcre (8.x) לעיבוד ביטויים רגולריים.
תמיכה בניתוח חריגות LDAP נוספה למסנני שאילתות כדי לסנן נכון נתונים בעת ניסיון לבצע התקפות החלפת LDAP.
ב-mpm_event, תוקן מבוי סתום המתרחש בעת הפעלה מחדש או חריגה ממגבלת MaxConnectionsPerChild במערכות עמוסות מאוד.

מהדורת שרת http של Apache 2.4.53 עם פגיעויות מסוכנות שתוקנו