ProHoster > Blog > wiadomości internetowe > Wydanie serwera http Apache 2.4.54 z naprawionymi lukami

Wydanie serwera http Apache 2.4.54 z naprawionymi lukami

Został wydany serwer Apache HTTP 2.4.53, wprowadzający 19 zmian i eliminujący 8 luk:

  • CVE-2022-31813 to luka w mod_proxy, która pozwala blokować wysyłanie nagłówków X-Forwarded-* z informacją o adresie IP, z którego nadeszło pierwotne żądanie. Problem można wykorzystać do ominięcia ograniczeń dostępu opartych na adresach IP.
  • CVE-2022-30556 to luka w mod_lua, która umożliwia dostęp do danych poza przydzielonym buforem poprzez manipulację funkcją r:wsread() w skryptach Lua.
  • CVE-2022-30522 – Odmowa usługi (wyczerpanie dostępnej pamięci) podczas przetwarzania niektórych danych przez moduł mod_sed.
  • CVE-2022-29404 to odmowa usługi w mod_lua wykorzystywana przez wysyłanie specjalnie spreparowanych żądań do procedur obsługi Lua za pomocą wywołania r:parsebody(0).
  • CVE-2022-28615, CVE-2022-28614 – Odmowa usługi lub dostępu do danych w pamięci procesu z powodu błędów w funkcjach ap_strcmp_match() i ap_rwrite(), skutkująca odczytem z obszaru poza granicą bufora.
  • CVE-2022-28330 — Wyciek informacji z obszarów buforowych poza granicami w mod_isapi (problem występuje tylko na platformie Windows).
  • CVE-2022-26377 – Moduł mod_proxy_ajp jest podatny na ataki HTTP Request Smuggling na systemy frontend-backend, co pozwala mu przemycić się do treści żądań innych użytkowników przetwarzanych w tym samym wątku pomiędzy frontendem a backendem.

Najbardziej zauważalne zmiany niezwiązane z bezpieczeństwem:

  • mod_ssl sprawia, że ​​tryb SSLFIPS jest kompatybilny z OpenSSL 3.0.
  • Narzędzie ab obsługuje protokół TLSv1.3 (wymaga połączenia z biblioteką SSL obsługującą ten protokół).
  • W mod_md dyrektywa MDCertificateAuthority dopuszcza więcej niż jedną nazwę urzędu certyfikacji i adres URL. Dodano nowe dyrektywy: MDRetryDelay (definiuje opóźnienie przed wysłaniem żądania ponownej próby) i MDRetryFailover (definiuje liczbę ponownych prób w przypadku niepowodzenia przed wyborem alternatywnego urzędu certyfikacji). Dodano obsługę stanu „auto” podczas wyprowadzania wartości w formacie „klucz:wartość”. Udostępniono możliwość zarządzania certyfikatami dla użytkowników bezpiecznej sieci VPN Tailscale.
  • Moduł mod_http2 został oczyszczony z nieużywanego i niebezpiecznego kodu.
  • mod_proxy zapewnia, że ​​port sieciowy zaplecza jest odzwierciedlany w komunikatach o błędach zapisywanych w dzienniku.
  • W mod_heartmonitor zmieniono wartość parametru HeartbeatMaxServers z 0 na 10 (inicjowanie 10 gniazd pamięci współdzielonej).

Źródło: opennet.ru

Dodaj komentarz