ProHoster > Blog > internetové správy > Vydanie http servera Apache 2.4.54 s opravenými chybami zabezpečenia

Vydanie http servera Apache 2.4.54 s opravenými chybami zabezpečenia

Bol vydaný server Apache HTTP 2.4.53, ktorý predstavuje 19 zmien a odstraňuje 8 zraniteľností:

  • CVE-2022-31813 je zraniteľnosť v mod_proxy, ktorá umožňuje blokovať odosielanie X-Forwarded-* hlavičiek s informáciou o IP adrese, z ktorej prišla pôvodná požiadavka. Problém možno použiť na obídenie obmedzení prístupu na základe adries IP.
  • CVE-2022-30556 je zraniteľnosť v mod_lua, ktorá umožňuje prístup k údajom mimo pridelenej vyrovnávacej pamäte prostredníctvom manipulácie s funkciou r:wsread() v skriptoch Lua.
  • CVE-2022-30522 – Odmietnutie služby (vyčerpanie dostupnej pamäte) pri spracovaní určitých údajov modulom mod_sed.
  • CVE-2022-29404 je odmietnutie služby v mod_lua využívané odosielaním špeciálne vytvorených požiadaviek na obsluhu Lua pomocou volania r:parsebody(0).
  • CVE-2022-28615, CVE-2022-28614 – Odmietnutie služby alebo prístupu k údajom v pamäti procesu v dôsledku chýb vo funkciách ap_strcmp_match() a ap_rwrite(), ktorých výsledkom je čítanie z oblasti za hranicou vyrovnávacej pamäte.
  • CVE-2022-28330 - Únik informácií z oblastí vyrovnávacej pamäte mimo hraníc v mod_isapi (problém sa vyskytuje iba na platforme Windows).
  • CVE-2022-26377 – Modul mod_proxy_ajp je citlivý na útoky HTTP Request Smuggling na frontend-backend systémy, čo mu umožňuje prepašovať sa do obsahu požiadaviek iných používateľov spracovaných v rovnakom vlákne medzi frontendom a backendom.

Najvýznamnejšie zmeny nesúvisiace so zabezpečením:

  • mod_ssl robí režim SSLFIPS kompatibilným s OpenSSL 3.0.
  • Nástroj ab podporuje TLSv1.3 (vyžaduje prepojenie s knižnicou SSL, ktorá podporuje tento protokol).
  • V mod_md povoľuje direktíva MDCertificateAuthority viac ako jeden názov CA a URL. Boli pridané nové smernice: MDRetryDelay (definuje oneskorenie pred odoslaním požiadavky na opakovanie) a MDRetryFailover (definuje počet opakovaní v prípade zlyhania pred výberom alternatívnej certifikačnej autority). Pridaná podpora pre stav „auto“ pri výstupe hodnôt vo formáte „key: value“. Poskytuje možnosť spravovať certifikáty pre používateľov zabezpečenej siete VPN Tailscale.
  • Modul mod_http2 bol vyčistený od nepoužívaného a nebezpečného kódu.
  • mod_proxy zaisťuje, že koncový sieťový port sa odráža v chybových správach zapísaných do protokolu.
  • V mod_heartmonitor sa hodnota parametra HeartbeatMaxServers zmenila z 0 na 10 (inicializuje sa 10 slotov zdieľanej pamäte).

Zdroj: opennet.ru

Pridať komentár