Apache HTTP Server 2.4.53 のリリースが公開され、14 件の変更が導入され、4 件の脆弱性が修正されています。
- CVE-2022-22720 - HTTP リクエスト スマグリング攻撃を実行する可能性。これにより、特別に設計されたクライアント リクエストを送信することで、mod_proxy 経由で送信された他のユーザーのリクエストのコンテンツに侵入することができます (たとえば、悪意のあるリクエストの置き換えが可能になります) JavaScript コードをサイトの別のユーザーのセッションに挿入します)。 この問題は、無効なリクエスト本文の処理中にエラーが発生した後、受信接続を開いたままにすることが原因で発生します。
- CVE-2022-23943 - mod_sed モジュールのバッファ オーバーフローにより、ヒープ メモリの内容が攻撃者が制御するデータで上書きされる可能性があります。
- CVE-2022-22721 - 350MB を超えるリクエスト本文を渡すときに発生する整数オーバーフローが原因で、範囲外に書き込みます。 この問題は、LimitXMLRequestBody 値の設定が高すぎる 32 ビット システムで発生します (デフォルトでは 1 MB、攻撃の場合は制限を 350 MB より大きくする必要があります)。
- CVE-2022-22719 は、mod_lua の脆弱性で、特別に細工されたリクエスト本文の処理時にランダムなメモリ領域を読み取り、プロセスをクラッシュさせる可能性があります。 この問題は、r:parsebody 関数コードで初期化されていない値が使用されていることが原因で発生します。
セキュリティ以外の最も注目すべき変更は次のとおりです。
- mod_proxy では、ハンドラー (ワーカー) 名の文字数制限が増加しました。 バックエンドとフロントエンドのタイムアウトを選択的に構成する機能が追加されました (たとえば、ワーカーに関連して)。 WebSocket または CONNECT メソッド経由で送信されたリクエストのタイムアウトは、バックエンドとフロントエンドに設定されている最大値に変更されました。
- DBM ファイルを開く処理と DBM ドライバーをロードする処理を分離しました。 クラッシュが発生した場合、エラーとドライバーに関するより詳細な情報がログに表示されるようになりました。
- ドメイン設定で「http-01」チャレンジ タイプの使用が明示的に有効になっていない限り、mod_md は /.well-known/acme-challenge/ へのリクエストの処理を停止しました。
- mod_dav は、大量のリソースを処理するときに大量のメモリ消費を引き起こす回帰を修正しました。
- 正規表現の処理に pcre (2.x) の代わりに pcre10 (8.x) ライブラリを使用する機能が追加されました。
- LDAP 置換攻撃を実行しようとするときにデータを正しく選別するために、LDAP 異常分析のサポートがクエリ フィルターに追加されました。
- mpm_event では、高負荷システムの再起動時または MaxConnectionsPerChild 制限を超えたときに発生するデッドロックが修正されました。
出所: オープンネット.ru