Apache HTTP 服务器 2.4.53 已发布,引入了 19 个更改并消除了 8 个漏洞:
- CVE-2022-31813 是 mod_proxy 中的一个漏洞,允许您阻止发送包含原始请求来源 IP 地址信息的 X-Forwarded-* 标头。 该问题可用于绕过基于 IP 地址的访问限制。
- CVE-2022-30556 是 mod_lua 中的一个漏洞,允许通过操作 Lua 脚本中的 r:wsread() 函数来访问分配的缓冲区之外的数据。
- CVE-2022-30522 – mod_sed 模块处理某些数据时出现拒绝服务(可用内存耗尽)。
- CVE-2022-29404 是 mod_lua 中的拒绝服务,通过使用 r:parsebody(0) 调用向 Lua 处理程序发送特制请求来利用。
- CVE-2022-28615、CVE-2022-28614 – 由于 ap_strcmp_match() 和 ap_rwrite() 函数中的错误,导致拒绝服务或访问进程内存中的数据,导致从缓冲区边界之外的区域进行读取。
- CVE-2022-28330 - mod_isapi 中的越界缓冲区发生信息泄漏(该问题仅发生在 Windows 平台上)。
- CVE-2022-26377 – mod_proxy_ajp 模块容易受到前端-后端系统上的 HTTP 请求走私攻击,这使得它能够将自身走私到前端和后端之间同一线程中处理的其他用户请求的内容中。
最显着的非安全变化是:
- mod_ssl 使 SSLFIPS 模式与 OpenSSL 3.0 兼容。
- ab 实用程序支持 TLSv1.3(需要链接支持此协议的 SSL 库)。
- 在 mod_md 中,MDCertificateAuthority 指令允许多个 CA 名称和 URL。 添加了新指令:MDRetryDelay(定义发送重试请求之前的延迟)和 MDRetryFailover(定义在选择备用证书颁发机构之前失败时的重试次数)。 添加了以“key:value”格式输出值时对“auto”状态的支持。 为 Tailscale 安全 VPN 网络的用户提供管理证书的能力。
- mod_http2 模块已清除未使用和不安全的代码。
- mod_proxy 确保后端网络端口反映在写入日志的错误消息中。
- 在mod_heartmonitor中,HeartbeatMaxServers参数的值已从0更改为10(初始化10个共享内存插槽)。
来源: opennet.ru