Релиз http-сервера Apache 2.4.54 с устранением уязвимостей

Silkway News
Silkway News
  • Date Time

Опубликован релиз HTTP-сервера Apache 2.4.53, в котором представлено 19 изменений и устранено 8 уязвимостей:

  • CVE-2022-31813 – уязвимость в mod_proxy, позволяющая блокировать отправку заголовков X-Forwarded-* с информацией об IP-адресе, с которого поступил изначальных запрос. Проблема может быть использована для обхода ограничений доступа по IP-адресам.
  • CVE-2022-30556 – уязвимость в mod_lua, позволяющая получить доступ к данным за пределами выделенного буфера через манипуляции с функцией r:wsread() в Lua-скриптах.
  • CVE-2022-30522 – отказ в обслуживании (исчерпание доступной памяти) при обработке определённых данных модулем mod_sed.
  • CVE-2022-29404 – отказ в обслуживании в mod_lua, эксплуатируемый через отправку специальной оформленных запросов Lua-обработчикам, использующим вызов r:parsebody(0).
  • CVE-2022-28615, CVE-2022-28614 – отказ в обслуживании или получение доступа к данным в памяти процесса из-за ошибок в функциях ap_strcmp_match() и ap_rwrite(), приводящих к чтению из области за границей буфера.
  • CVE-2022-28330 – утечка информации из областей вне границ буфера в
    mod_isapi (проблема проявляется только на платформе Windows).
  • CVE-2022-26377 – модуль mod_proxy_ajp подвержен атакам класса “HTTP Request Smuggling” на системы фронтэнд-бэкенд, позволяющим вклиниваться в содержимое запросов других пользователей, обрабатываемых в том же потоке между фронтэндом и бэкендом.

Наиболее заметные изменения, не связанные с безопасностью:

  • В mod_ssl обеспечена совместимость режима SSLFIPS с OpenSSL 3.0.
  • В утилите ab реализована поддержка TLSv1.3 (требуется связывание с SSL-библиотекой, поддерживающей данный протокол).
  • В mod_md в директиве MDCertificateAuthority разрешено использование более одного имени и URL удостоверяющего центра. Добавлены новые директивы: MDRetryDelay (определяет задержку перед отправкой повторного запроса) и MDRetryFailover (определяет число повторных попыток в случае сбоя перед выбором альтернативного удостоверяющего центра). Добавлена поддержка состояния “auto” при выводе значений в формате “key: value”. Предоставлена возможность управления сертификатами для пользователей защищённой VPN-сети Tailscale.
  • Проведена чистка модуля mod_http2 от неиспользуемого и небезопасного кода.
  • В mod_proxy обеспечено отражение сетевого порта бэкенда в сообщениях об ошибках, записываемых в лог.
  • В mod_heartmonitor значение параметра HeartbeatMaxServers изменено с 0 до 10 (инициализации 10 слотов разделяемой памяти).
Release. Ссылка here.

© 2024 - Silkway News