Ang Apache HTTP server 2.4.53 ay inilabas, na nagpapakilala ng 19 na pagbabago at nag-aalis ng 8 mga kahinaan:
- Ang CVE-2022-31813 ay isang kahinaan sa mod_proxy na nagbibigay-daan sa iyong harangan ang pagpapadala ng mga X-Forwarded-* na mga header na may impormasyon tungkol sa IP address kung saan nanggaling ang orihinal na kahilingan. Maaaring gamitin ang problema upang i-bypass ang mga paghihigpit sa pag-access batay sa mga IP address.
- Ang CVE-2022-30556 ay isang kahinaan sa mod_lua na nagbibigay-daan sa pag-access sa data sa labas ng inilalaang buffer sa pamamagitan ng pagmamanipula ng r:wsread() function sa mga script ng Lua.
- CVE-2022-30522 β Pagtanggi sa serbisyo (available memory exhaustion) kapag nagpoproseso ng ilang data sa pamamagitan ng mod_sed module.
- Ang CVE-2022-29404 ay isang pagtanggi sa serbisyo sa mod_lua na pinagsamantalahan sa pamamagitan ng pagpapadala ng mga espesyal na ginawang kahilingan sa mga humahawak ng Lua gamit ang r:parsebody(0) na tawag.
- CVE-2022-28615, CVE-2022-28614 β Pagtanggi ng serbisyo o pag-access sa data sa memorya ng proseso dahil sa mga error sa ap_strcmp_match() at ap_rwrite() function, na nagreresulta sa isang read mula sa isang lugar na lampas sa hangganan ng buffer.
- CVE-2022-28330 - Ang pagtagas ng impormasyon mula sa mga out-of-bounds na buffer area sa mod_isapi (nagaganap lamang ang isyu sa Windows platform).
- CVE-2022-26377 β Ang mod_proxy_ajp module ay madaling kapitan ng HTTP Request Smuggling na pag-atake sa mga frontend-backend system, na nagbibigay-daan dito na ipuslit ang sarili sa mga nilalaman ng mga kahilingan ng ibang user na naproseso sa parehong thread sa pagitan ng frontend at backend.
Ang pinaka-kapansin-pansing mga pagbabagong hindi pangseguridad ay:
- Ginagawa ng mod_ssl na tugma ang SSLFIPS mode sa OpenSSL 3.0.
- Sinusuportahan ng ab utility ang TLSv1.3 (nangangailangan ng pag-link sa isang SSL library na sumusuporta sa protocol na ito).
- Sa mod_md, pinapayagan ng direktiba ng MDCertificateAuthority ang higit sa isang pangalan at URL ng CA. Nagdagdag ng mga bagong direktiba: MDRetryDelay (tinutukoy ang pagkaantala bago magpadala ng kahilingan sa muling pagsubok) at MDRetryFailover (tinutukoy ang bilang ng mga muling pagsubok kung sakaling mabigo bago pumili ng alternatibong awtoridad sa sertipikasyon). Nagdagdag ng suporta para sa "auto" na estado kapag naglalabas ng mga halaga sa "key: value" na format. Ibinigay ang kakayahang pamahalaan ang mga certificate para sa mga user ng Tailscale secure VPN network.
- Ang mod_http2 module ay nalinis ng hindi nagamit at hindi ligtas na code.
- Tinitiyak ng mod_proxy na ang backend network port ay makikita sa mga mensahe ng error na nakasulat sa log.
- Sa mod_heartmonitor, ang halaga ng parameter ng HeartbeatMaxServers ay binago mula 0 hanggang 10 (nagsisimula ng 10 shared memory slot).
Pinagmulan: opennet.ru