Релиз http-сервера Apache 2.4.55 с устранением уязвимостей

Опубликован релиз HTTP-сервера Apache 2.4.55, в котором представлено 18 изменений и устранено 3 уязвимости:

  • CVE-2022-37436: атака по разделению ответов HTTP в mod_proxy. Подконтрольный атакующему бэкенд может произвести усечение HTTP-заголовков ответа так, что следом идущие заголовки окажутся в теле ответа (например, таким образом можно отбросить связанные с обеспечением безопасности заголовки).
  • CVE-2022-36760: модуль mod_proxy_ajp подвержен атакам класса “HTTP Request Smuggling” на системы фронтэнд-бэкенд, позволяющим вклиниваться в содержимое запросов других пользователей, обрабатываемых в том же потоке между фронтэндом и бэкендом.
  • CVE-2006-20001: возможность записи одного нулевого байта в область вне границ буфера, проявляющаяся при обработке в mod_dav специально оформленного заголовка “If:”.

Наиболее заметные изменения, не связанные с безопасностью:

  • mod_proxy_http2 переведён на общий с другими прокси-модулями механизм обработки типа содержимого ответов, приходящих от бэкендов.
  • В mod_proxy_hcheck учтено значение таймаута, выставленное для рабочих процессов.
  • В mod_http2 частично переписан код обработки соединений и потоков. Для отслеживания основного соединения и обработки ввода/вывода для запросов и ответов задействована функция pollset из APR (Apache Portable Runtime). Обеспечено удаление начальных и финальных пробелов и табуляций в значениях заголовков ответов и запросов.
  • В mod_proxy_hcheck в hcmethod разрешены запросы HTTP/1.1 с использованием методов GET11, HEAD11 и OPTIONS11. Обеспечена корректная проверка поддержки
    AJP/CPING.
  • В mod_authn_core добавлена поддержка выражений в AuthName и AuthType.
  • В mod_md добавлена директива MDStoreLocks, предназначенная для блокировки совместного хранилища для обеспечения корректной активации обновлённых сертификатов при одновременном перезапуске нескольких узлов кластера.
  • В mod_heartmonitor разрешено указание директивы “HeartbeatMaxServers 0” для использования файлового хранилища вместо slotmem.
  • В mod_dav добавлена опция DAVlockDiscovery для отключения определения блокировок WebDAV.
Release. Ссылка here.