ProHoster > Блог > Новини інтернету > Реліз http-сервера Apache 2.4.54 з усуненням уразливостей

Реліз http-сервера Apache 2.4.54 з усуненням уразливостей

Опубліковано реліз HTTP-сервера Apache 2.4.53, в якому представлено 19 змін та усунено 8 вразливостей:

  • CVE-2022-31813 - вразливість в mod_proxy, що дозволяє блокувати відправлення заголовків X-Forwarded-* з інформацією про IP-адресу, з якої надійшов початковий запит. Проблема може бути використана для обходу обмежень доступу за IP-адресами.
  • CVE-2022-30556 – вразливість у mod_lua, що дозволяє отримати доступ до даних за межами виділеного буфера через маніпуляції з функцією r:wsread() у Lua-скриптах.
  • CVE-2022-30522 - відмова в обслуговуванні (вичерпання доступної пам'яті) при обробці певних даних модулем mod_sed.
  • CVE-2022-29404 - відмова в обслуговуванні в mod_lua, що експлуатується через відправку спеціально оформлених запитів Lua-обробникам, які використовують виклик r:parsebody(0).
  • CVE-2022-28615, CVE-2022-28614 — відмова в обслуговуванні або отримання доступу до даних у пам'яті процесу через помилки у функціях ap_strcmp_match() та ap_rwrite(), що призводять до читання з області за кордоном буфера.
  • CVE-2022-28330 - витік інформації з областей поза межами буфера в mod_isapi (проблема проявляється лише на платформі Windows).
  • CVE-2022-26377 — модуль mod_proxy_ajp піддається атакам класу «HTTP Request Smuggling» на системи фронтенд-бекенд, що дозволяє вклинюватися у вміст запитів інших користувачів, що обробляються в тому ж потоці між фронтендом та бекендом.

Найбільш помітні зміни, не пов'язані з безпекою:

  • У mod_ssl забезпечено сумісність режиму SSLFIPS із OpenSSL 3.0.
  • В утиліті ab реалізовано підтримку TLSv1.3 (потрібне зв'язування з SSL-бібліотекою, що підтримує цей протокол).
  • У mod_md у директиві MDCertificateAuthority дозволено використання більше одного імені та URL-адреси, що засвідчує центру. Додано нові директиви: MDRetryDelay (визначає затримку перед відправкою повторного запиту) та MDRetryFailover (визначає кількість повторних спроб у разі збою перед вибором альтернативного центру, що засвідчує). Додано підтримку стану «auto» при виведенні значень у форматі «key: value». Надано можливість керування сертифікатами для користувачів захищеної VPN-мережі Tailscale.
  • Проведено чищення модуля mod_http2 від невикористовуваного та небезпечного коду.
  • У mod_proxy забезпечено відображення мережевого порту бекенда в повідомленнях про помилки, що записуються в балку.
  • У mod_heartmonitor значення параметра HeartbeatMaxServers змінено з 0 до 10 (ініціалізації 10 слотів пам'яті, що розділяється).

Джерело: opennet.ru

Додати коментар або відгук