Išleistas Apache HTTP serveris 2.4.53, kuriame yra 19 pakeitimai ir pašalintos 8 spragos:
- CVE-2022-31813 yra mod_proxy pažeidžiamumas, leidžiantis blokuoti X-Forwarded-* antraščių siuntimą su informacija apie IP adresą, iš kurio buvo gauta pradinė užklausa. Problema gali būti naudojama norint apeiti prieigos apribojimus pagal IP adresus.
- CVE-2022-30556 yra mod_lua pažeidžiamumas, leidžiantis pasiekti duomenis už paskirto buferio ribų, manipuliuojant r:wsread() funkcija Lua scenarijuose.
- CVE-2022-30522 – Paslaugų atsisakymas (laisvos atminties išeikvojimas), kai modulis mod_sed apdoroja tam tikrus duomenis.
- CVE-2022-29404 yra mod_lua paslaugos atsisakymas, naudojamas siunčiant specialiai sukurtas užklausas Lua tvarkytojams naudojant r:parsebody(0) iškvietimą.
- CVE-2022-28615, CVE-2022-28614 – Paslaugų atsisakymas arba prieiga prie duomenų proceso atmintyje dėl ap_strcmp_match() ir ap_rwrite() funkcijų klaidų, todėl nuskaitoma iš srities, esančios už buferio ribos.
- CVE-2022-28330 – informacijos nutekėjimas iš mod_isapi buferio ribų (problema kyla tik Windows platformoje).
- CVE-2022-26377 – modulis mod_proxy_ajp yra jautrus HTTP užklausų kontrabandos atakoms prieš frontend-backend sistemas, todėl jis gali patekti į kitų vartotojų užklausų, apdorojamų toje pačioje gijoje tarp priekinės ir užpakalinės sistemos, turinį.
Ryškiausi su saugumu nesusiję pokyčiai:
- mod_ssl leidžia SSLFIPS režimą suderinti su OpenSSL 3.0.
- Ab paslaugų programa palaiko TLSv1.3 (reikia susieti su SSL biblioteka, kuri palaiko šį protokolą).
- Mod_md direktyva MDCertificateAuthority leidžia daugiau nei vieną CA pavadinimą ir URL. Pridėtos naujos direktyvos: MDRetryDelay (apibrėžia delsą prieš siunčiant pakartotinio bandymo užklausą) ir MDRetryFailover (apibrėžia bandymų skaičių nesėkmės atveju prieš pasirenkant alternatyvią sertifikavimo instituciją). Pridėtas „auto“ būsenos palaikymas, kai išvedamos reikšmės „raktas: vertė“ formatu. Suteikta galimybė valdyti Tailscale saugaus VPN tinklo naudotojų sertifikatus.
- Mod_http2 modulis buvo išvalytas nuo nenaudojamo ir nesaugaus kodo.
- mod_proxy užtikrina, kad galinio tinklo prievadas atsispindėtų klaidų pranešimuose, įrašytuose į žurnalą.
- Mod_heartmonitor parametro HeartbeatMaxServers reikšmė buvo pakeista iš 0 į 10 (inicijuoja 10 bendrinamų atminties lizdų).
Šaltinis: opennet.ru