מהדורת שרת http של Apache 2.4.54 עם פגיעויות מתוקנות

פורסם מהדורת שרת HTTP של Apache 2.4.53, המציגה 19 שינויים ומתקן 8 פגיעויות:

• CVE-2022-31813 היא פגיעות ב-mod_proxy שיכולה לחסום את שליחת כותרות X-Forwarded-* עם מידע על כתובת ה-IP ממנה הגיעה הבקשה המקורית. ניתן להשתמש בבעיה כדי לעקוף הגבלות גישה על סמך כתובות IP.
• CVE-2022-30556 היא פגיעות ב-mod_lua המאפשרת גישה לנתונים מחוץ למאגר המוקצה באמצעות מניפולציות עם הפונקציה r:wsread() בסקריפטים של Lua.
• CVE-2022-30522 - מניעת שירות (מחוץ לזיכרון זמין) תוך עיבוד נתונים מסוימים על ידי mod_sed.
• CVE-2022-29404 - מניעת שירות mod_lua מנוצל על ידי שליחת בקשות בעלות מבנה מיוחד למטפלי Lua באמצעות הקריאה r:parsebody(0).
• CVE-2022-28615, CVE-2022-28614 - מניעת שירות או גישה לנתונים בזיכרון התהליך עקב שגיאות בפונקציות ap_strcmp_match() ו-ap_rwrite(), וכתוצאה מכך קריאה מאזור מחוץ לגבול המאגר.
• CVE-2022-28330 - דליפת מידע מחוץ לתחום ב-mod_isapi (הבעיה מופיעה רק בפלטפורמת Windows).
• CVE-2022-26377 - מודול mod_proxy_ajp רגיש להתקפות "הברחת בקשות HTTP" על מערכות חזיתיות-גב המאפשרות לחדור לתוכן של בקשות של משתמשים אחרים באותו שרשור בין הקצה הקדמי לקצה האחורי .

השינויים הבולטים שאינם ביטחוניים הם:

• mod_ssl הופך את מצב SSLFIPS לתואם ל-OpenSSL 3.0.
• כלי השירות ab מיישם תמיכה ב-TLSv1.3 (דורש כריכה לספריית SSL התומכת בפרוטוקול זה).
• ב-mod_md, הנחיית MDCertificateAuthority מאפשרת יותר משם CA אחד וכתובת URL. נוספו הנחיות חדשות: MDRetryDelay (מגדיר את העיכוב לפני שליחת בקשת ניסיון חוזר) ו- MDRetryFailover (מגדיר את מספר הניסיונות החוזרים במקרה של כשל לפני בחירת CA חלופי). נוספה תמיכה במצב "אוטומטי" בעת הצגת ערכים בפורמט "מפתח: ערך". סיפק את היכולת לנהל אישורים עבור משתמשי VPN מאובטחים של Tailscale.
• מודול mod_http2 נוקה מקוד שאינו בשימוש ולא בטוח.
• mod_proxy מספק השתקפות של יציאת הרשת האחורית בהודעות שגיאה שנכתבו ביומן.
• ב-mod_heartmonitor, הערך של הפרמטר HeartbeatMaxServers שונה מ-0 ל-10 (אתחול של 10 חריצי זיכרון משותפים).

מקור: OpenNet.ru