De Apache HTTP-server 2.4.53 is uitgebracht, waarbij 19 wijzigingen zijn geïntroduceerd en 8 kwetsbaarheden zijn geëlimineerd:
- CVE-2022-31813 is een kwetsbaarheid in mod_proxy waarmee u het verzenden van X-Forwarded-* headers kunt blokkeren met informatie over het IP-adres waar het oorspronkelijke verzoek vandaan kwam. Het probleem kan worden gebruikt om toegangsbeperkingen op basis van IP-adressen te omzeilen.
- CVE-2022-30556 is een kwetsbaarheid in mod_lua die toegang mogelijk maakt tot gegevens buiten de toegewezen buffer door manipulatie van de functie r:wsread() in Lua-scripts.
- CVE-2022-30522 – Denial of service (beschikbare geheugenuitputting) bij het verwerken van bepaalde gegevens door de mod_sed-module.
- CVE-2022-29404 is een Denial of Service in mod_lua die wordt uitgebuit door speciaal vervaardigde verzoeken naar Lua-handlers te sturen met behulp van de aanroep r:parsebody(0).
- CVE-2022-28615, CVE-2022-28614 – Denial of service of toegang tot gegevens in het procesgeheugen vanwege fouten in de functies ap_strcmp_match() en ap_rwrite(), resulterend in een leesbewerking uit een gebied buiten de buffergrens.
- CVE-2022-28330 - Informatielekken uit buffergebieden buiten het bereik in mod_isapi (het probleem treedt alleen op op het Windows-platform).
- CVE-2022-26377 – De module mod_proxy_ajp is gevoelig voor HTTP Request Smokkel-aanvallen op frontend-backend-systemen, waardoor deze zichzelf in de inhoud van verzoeken van andere gebruikers kan smokkelen die in dezelfde thread tussen de frontend en de backend worden verwerkt.
De meest opvallende niet-beveiligingswijzigingen zijn:
- mod_ssl maakt de SSLFIPS-modus compatibel met OpenSSL 3.0.
- Het ab-hulpprogramma ondersteunt TLSv1.3 (vereist koppeling met een SSL-bibliotheek die dit protocol ondersteunt).
- In mod_md staat de MDCertificateAuthority-richtlijn meer dan één CA-naam en URL toe. Er zijn nieuwe richtlijnen toegevoegd: MDRetryDelay (definieert de vertraging voordat een verzoek tot opnieuw proberen wordt verzonden) en MDRetryFailover (definieert het aantal nieuwe pogingen in geval van mislukking voordat een alternatieve certificeringsinstantie wordt gekozen). Ondersteuning toegevoegd voor de status "auto" bij het uitvoeren van waarden in het formaat "sleutel: waarde". De mogelijkheid geboden om certificaten te beheren voor gebruikers van het Tailscale beveiligde VPN-netwerk.
- De mod_http2-module is ontdaan van ongebruikte en onveilige code.
- mod_proxy zorgt ervoor dat de backend-netwerkpoort wordt weerspiegeld in foutmeldingen die naar het log worden geschreven.
- In mod_heartmonitor is de waarde van de HeartbeatMaxServers-parameter gewijzigd van 0 in 10 (waarbij 10 gedeelde geheugenslots worden geïnitialiseerd).
Bron: opennet.ru