취약점이 수정된 Apache 2.4.54 http 서버 출시

Apache HTTP 서버 2.4.53이 출시되어 19가지 변경 사항이 도입되고 8가지 취약점이 제거되었습니다.

• CVE-2022-31813은 원래 요청이 발생한 IP 주소에 대한 정보가 포함된 X-Forwarded-* 헤더의 전송을 차단할 수 있는 mod_proxy의 취약점입니다. 이 문제는 IP 주소를 기반으로 한 액세스 제한을 우회하는 데 사용될 수 있습니다.
• CVE-2022-30556은 Lua 스크립트의 r:wsread() 함수 조작을 통해 할당된 버퍼 외부의 데이터에 대한 액세스를 허용하는 mod_lua의 취약점입니다.
• CVE-2022-30522 – mod_sed 모듈에서 특정 데이터를 처리할 때 서비스 거부(사용 가능한 메모리 소진)입니다.
• CVE-2022-29404는 r:parsebody(0) 호출을 사용하여 특별히 제작된 요청을 Lua 핸들러에 보내는 방식으로 악용되는 mod_lua의 서비스 거부입니다.
• CVE-2022-28615, CVE-2022-28614 – ap_strcmp_match() 및 ap_rwrite() 함수의 오류로 인해 서비스가 거부되거나 프로세스 메모리의 데이터에 액세스하여 버퍼 경계를 넘어선 영역에서 읽기가 발생합니다.
• CVE-2022-28330 - mod_isapi의 범위를 벗어난 버퍼 영역에서 정보 유출(이 문제는 Windows 플랫폼에서만 발생함)
• CVE-2022-26377 – mod_proxy_ajp 모듈은 프런트엔드-백엔드 시스템에 대한 HTTP 요청 스머글링 공격에 취약합니다. 이로 인해 프런트엔드와 백엔드 사이의 동일한 스레드에서 처리되는 다른 사용자의 요청 내용으로 몰래 들어갈 수 있습니다.

가장 주목할만한 비보안 변경 사항은 다음과 같습니다.

• mod_ssl은 SSLFIPS 모드를 OpenSSL 3.0과 호환되게 만듭니다.
• ab 유틸리티는 TLSv1.3을 지원합니다(이 프로토콜을 지원하는 SSL 라이브러리와의 연결 필요).
• mod_md에서 MDCertificateAuthority 지시문은 둘 이상의 CA 이름과 URL을 허용합니다. MDRetryDelay(재시도 요청을 보내기 전 지연 시간 정의) 및 MDRetryFailover(대체 인증 기관을 선택하기 전 실패 시 재시도 횟수 정의)라는 새로운 지시문이 추가되었습니다. "키:값" 형식으로 값을 출력할 때 "자동" 상태에 대한 지원이 추가되었습니다. Tailscale 보안 VPN 네트워크 사용자를 위한 인증서를 관리하는 기능을 제공합니다.
• mod_http2 모듈에서 사용되지 않고 안전하지 않은 코드가 제거되었습니다.
• mod_proxy는 백엔드 네트워크 포트가 로그에 기록된 오류 메시지에 반영되도록 합니다.
• mod_heartmonitor에서 HeartbeatMaxServers 매개변수의 값이 0에서 10으로 변경되었습니다(10개의 공유 메모리 슬롯 초기화).

출처 : opennet.ru