Apache HTTP Server 2.4.53 版本已经发布,引入了 14 个更改并修复了 4 个漏洞:
- CVE-2022-22720 - 执行“HTTP 请求走私”攻击的可能性,该攻击允许通过发送专门设计的客户端请求来插入通过 mod_proxy 传输的其他用户请求的内容(例如,您可以实现替换网站其他用户会话中的恶意 JavaScript 代码)。 该问题是由于在处理无效请求正文时遇到错误后保持打开的传入连接而引起的。
- CVE-2022-23943 - mod_sed 模块中的缓冲区溢出,允许使用攻击者控制的数据覆盖堆内存的内容。
- CVE-2022-22721 - 由于传递大于 350MB 的请求正文时发生整数溢出,导致写入越界。 该问题在 32 位系统上表现出来,在该系统中,LimitXMLRequestBody 值设置得太高(默认为 1 MB,对于攻击,限制必须高于 350 MB)。
- CVE-2022-22719 是 mod_lua 中的一个漏洞,允许在处理特制请求正文时读取随机内存区域并导致进程崩溃。 该问题是由于r:parsebody函数代码中使用了未初始化的值引起的。
最显着的非安全变化是:
- 在 mod_proxy 中,增加了处理程序(worker)名称中的字符数限制。 添加了有选择地配置后端和前端超时的功能(例如,与工作线程相关)。 对于通过 websockets 或 CONNECT 方法发送的请求,超时已更改为为后端和前端设置的最大值。
- 分开处理打开 DBM 文件和加载 DBM 驱动程序。 如果发生崩溃,日志现在会显示有关错误和驱动程序的更多详细信息。
- mod_md 停止处理对 /.well-known/acme-challenge/ 的请求,除非域设置明确启用“http-01”质询类型的使用。
- mod_dav 修复了处理大量资源时导致高内存消耗的回归。
- 添加了使用 pcre2 (10.x) 库而不是 pcre (8.x) 来处理正则表达式的功能。
- 查询过滤器中添加了对 LDAP 异常分析的支持,以便在尝试执行 LDAP 构造替换攻击时正确筛选数据。
- 在 mpm_event 中,修复了在高负载系统上重新启动或超过 MaxConnectionsPerChild 限制时发生的死锁。
来源: opennet.ru