Foi publicada a versão do Apache HTTP Server 2.4.53, que introduz 14 alterações e corrige 4 vulnerabilidades:
- CVE-2022-22720 - a possibilidade de realizar um ataque de contrabando de solicitações HTTP, que permite, ao enviar solicitações de clientes especialmente projetadas, inserir-se no conteúdo das solicitações de outros usuários transmitidas via mod_proxy (por exemplo, você pode conseguir a substituição de malicioso código JavaScript na sessão de outro usuário do site). O problema é causado por deixar conexões de entrada abertas após encontrar erros durante o processamento de um corpo de solicitação inválido.
- CVE-2022-23943 – Um buffer overflow no módulo mod_sed que permite substituir o conteúdo da memória heap por dados controlados pelo invasor.
- CVE-2022-22721 – Gravação fora dos limites devido a um estouro de número inteiro que ocorre ao passar um corpo de solicitação maior que 350 MB. O problema se manifesta em sistemas de 32 bits em cujas configurações o valor LimitXMLRequestBody está definido muito alto (por padrão 1 MB, para um ataque o limite deve ser superior a 350 MB).
- CVE-2022-22719 é uma vulnerabilidade no mod_lua que permite a leitura de áreas de memória aleatórias e travamento do processo ao processar um corpo de solicitação especialmente criado. O problema é causado pelo uso de valores não inicializados no código da função r:parsebody.
As alterações não relacionadas à segurança mais notáveis são:
- No mod_proxy, o limite do número de caracteres no nome do manipulador (trabalhador) foi aumentado. Adicionada a capacidade de configurar seletivamente tempos limite para back-end e front-end (por exemplo, em relação a um trabalhador). Para solicitações enviadas via websockets ou método CONNECT, o timeout foi alterado para o valor máximo definido para backend e frontend.
- Manipulação separada de abertura de arquivos DBM e carregamento do driver DBM. Em caso de travamento, o log agora exibe informações mais detalhadas sobre o erro e o driver.
- mod_md parou de processar solicitações para /.well-known/acme-challenge/, a menos que as configurações do domínio permitissem explicitamente o uso do tipo de desafio 'http-01'.
- mod_dav corrigiu uma regressão que causava alto consumo de memória ao processar um grande número de recursos.
- Adicionada a capacidade de usar a biblioteca pcre2 (10.x) em vez de pcre (8.x) para processar expressões regulares.
- O suporte para análise de anomalias LDAP foi adicionado aos filtros de consulta para filtrar corretamente os dados ao tentar ataques de substituição LDAP.
- Em mpm_event, foi corrigido um impasse que ocorria ao reiniciar ou exceder o limite MaxConnectionsPerChild em sistemas altamente carregados.
Fonte: opennet.ru