Został wydany serwer Apache HTTP 2.4.53, wprowadzający 14 zmian i eliminujący 4 luki:
- CVE-2022-22720 - możliwość przeprowadzenia ataku „HTTP Request Smuggling”, który pozwala poprzez wysyłanie specjalnie zaprojektowanych żądań klientów wklinować się w treść żądań innych użytkowników przesyłanych poprzez mod_proxy (można np. osiągnąć wstawienie złośliwego kodu JavaScript do sesji innego użytkownika serwisu). Problem jest spowodowany pozostawieniem otwartych połączeń przychodzących po wystąpieniu błędów podczas przetwarzania nieprawidłowej treści żądania.
- CVE-2022-23943 Przepełnienie bufora w module mod_sed umożliwia nadpisanie zawartości pamięci sterty danymi kontrolowanymi przez atakującego.
- CVE-2022-22721 Istnieje możliwość zapisu poza dopuszczalnym zakresem z powodu przepełnienia liczby całkowitej, które występuje podczas przekazywania treści żądania większej niż 350 MB. Problem pojawia się na systemach 32-bitowych, w których ustawieniach wartość LimitXMLRequestBody jest ustawiona zbyt wysoko (domyślnie 1 MB, dla ataku limit musi być większy niż 350 MB).
- CVE-2022-22719 to luka w mod_lua, która umożliwia losowy odczyt pamięci i awarię procesu podczas przetwarzania specjalnie spreparowanej treści żądania. Problem jest spowodowany użyciem niezainicjowanych wartości w kodzie funkcji r:parsebody.
Najbardziej zauważalne zmiany niezwiązane z bezpieczeństwem:
- W mod_proxy zwiększono limit znaków w imieniu pracownika (pracownika). Dodano możliwość selektywnego konfigurowania limitów czasu dla backendu i frontendu (na przykład w połączeniu z workerem). Dla żądań wysyłanych poprzez websockety lub metodę CONNECT, czas timeoutu został zmieniony na maksymalną wartość ustawioną dla backendu i frontendu.
- Rozdzielono przetwarzanie otwierania plików DBM i ładowania sterownika DBM. W przypadku awarii dziennik wyświetla teraz bardziej szczegółowe informacje o błędzie i sterowniku.
- Mod_md przestał przetwarzać żądania do /.well-known/acme-challenge/, chyba że ustawienia domeny wyraźnie umożliwiły użycie typu weryfikacji „http-01”.
- Mod_dav naprawił regresję, która powodowała duże zużycie pamięci podczas obsługi dużej liczby zasobów.
- Dodano możliwość wykorzystania biblioteki pcre2 (10.x) zamiast pcre (8.x) do przetwarzania wyrażeń regularnych.
- Dodano obsługę analizy anomalii dla protokołu LDAP, aby filtry żądań prawidłowo monitorowały dane podczas prób przeprowadzenia ataków substytucyjnych LDAP.
- W mpm_event wyeliminowano zakleszczenie występujące przy ponownym uruchomieniu lub przekroczeniu limitu MaxConnectionsPerChild na mocno obciążonych systemach.
Źródło: opennet.ru