ProHoster > Блог > Новини інтернету > Реліз http-сервера Apache 2.4.53 з усуненням небезпечних уразливостей

Реліз http-сервера Apache 2.4.53 з усуненням небезпечних уразливостей

Опубліковано реліз HTTP-сервера Apache 2.4.53, в якому представлено 14 змін та усунено 4 вразливості:

  • CVE-2022-22720 — можливість здійснення атаки «HTTP Request Smuggling», що дозволяє через відправлення спеціально оформлених клієнтських запитів вклинюватися у вміст запитів інших користувачів, що передаються через mod_proxy (наприклад, можна домогтися підстановки шкідливого JavaScript-коду в сеанс іншого користувача сайту). Проблема викликана залишенням відкритих вхідних з'єднань після виникнення помилок при обробці некоректного тіла запиту.
  • CVE-2022-23943 - переповнення буфера в модулі mod_sed, що дозволяє перезаписати вміст пам'яті купи даними, контрольованими атакуючим.
  • CVE-2022-22721 - можливість запису за кордон буфера через цілісне переповнення, що виникає при передачі тіла запиту розміром більше 350МБ. Проблема проявляється на 32-розрядних системах у налаштуваннях яких виставлено занадто велике значення LimitXMLRequestBody (за замовчуванням 1 МБ, для атаки ліміт має бути вищим за 350 МБ).
  • CVE-2022-22719 – вразливість у mod_lua, що дозволяє досягти читання випадкових областей пам'яті та краху процесу при обробці спеціально оформленого тіла запиту. Проблема викликана використанням неініціалізованих значень у коді функції r:parsebody.

Найбільш помітні зміни, не пов'язані з безпекою:

  • У mod_proxy підвищений ліміт на кількість символів у імені обробника (worker). Додано можливість вибіркового налаштування таймаутів для бекенда та фронтенду (наприклад, у прив'язці до worker-у). Для запитів, що передаються через websockets або метод CONNECT, час таймууту змінено на максимальне значення, виставлене для бекенда та фронтенду.
  • Розділено обробку відкриття DBM-файлів та завантаження DBM-драйвера. У разі збою в лозі тепер відображаються докладніші відомості про помилку та драйвер.
  • У mod_md припинено обробку запитів до /.well-known/acme-challenge/, якщо в налаштуваннях домену явно не включено використання типу перевірки 'http-01'.
  • У mod_dav усунуто регресивну зміну, що призводить до великого споживання пам'яті під час обробки великої кількості ресурсів.
  • Додано можливість використання бібліотеки pcre2 (10.x) замість pcre (8.x) для обробки регулярних виразів.
  • У фільтри запитів додано підтримку аналізу аномалій для протоколу LDAP для коректного екранування даних при спробі здійснення атак по підстановці LDAP-конструкцій.
  • У mpm_event усунуто взаємне блокування, що виникає під час пепезапуску або перевищення ліміту MaxConnectionsPerChild на високонавантажених системах.

Джерело: opennet.ru

Додати коментар або відгук