Опубликован релиз HTTP-сервера Apache 2.4.53, в котором представлено 14 изменений и устранено 4 уязвимости:
- CVE-2022-22720 – возможность совершения атаки “HTTP Request Smuggling”, позволяющей через отправку специально оформленных клиентских запросов вклиниваться в содержимое запросов других пользователей, передаваемых через mod_proxy (например, можно добиться подстановки вредоносного JavaScript-кода в сеанс другого пользователя сайта). Проблема вызвана оставлением открытыми входящих соединений после возникновения ошибок при обработке некорректного тела запроса.
- CVE-2022-23943 – переполнение буфера в модуле mod_sed, позволяющее перезаписать содержимое памяти кучи данными, контролируемыми атакующим.
- CVE-2022-22721 – возможность записи за границу буфера из-за целочисленного переполнения, возникающего при передаче тела запроса размером более 350МБ. Проблема проявляется на 32-разрядных системах в настройках которых выставлено слишком большое значение LimitXMLRequestBody (по умолчанию 1 МБ, для атаки лимит должен быть выше 350 МБ).
- CVE-2022-22719 – уязвимость в mod_lua, позволяющая добиться чтения случайных областей памяти и краха процесса при обработке специально оформленного тела запроса. Проблема вызвана использованием неинициализированных значений в коде функции r:parsebody.
Наиболее заметные изменения, не связанные с безопасностью:
- В mod_proxy повышен лимит на число символов в имени обработчика (worker). Добавлена возможность выборочной настройки таймаутов для бэкенда и фронтэнда (например, в привязке к worker-у). Для запросов, передаваемых через websockets или метод CONNECT, время таймаута изменено на максимальное значение, выставленное для бэкенда и фронтэнда.
- Разделена обработка открытия DBM-файлов и загрузки DBM-драйвера. В случае сбоя в логе теперь отображаются более детальные сведения об ошибке и драйвере.
- В mod_md прекращена обработка запросов к /.well-known/acme-challenge/, если в настройках домена явно не включено использование типа проверки ‘http-01’.
- В mod_dav устранено регрессивное изменение, приводящее к большому потреблению памяти при обработке большого числа ресурсов.
- Добавлена возможность использования библиотеки pcre2 (10.x) вместо pcre (8.x) для обработки регулярных выражений.
- В фильтры запросов добавлена поддержка анализа аномалий для протокола LDAP для корректного экранирования данных при попытке совершения атак по подстановке LDAP-конструкций.
- В mpm_event устранена взаимная блокировка, возникающая при пепезапуске или превышении лимита MaxConnectionsPerChild на высоконагруженных систмах.
Release.
Ссылка here.