Релиз http-сервера Apache 2.4.53 с устранением опасных уязвимостей
Опубликован релиз HTTP-сервера Apache 2.4.53, в котором представлено 14 изменений и устранено 4 уязвимости:
CVE-2022–22720 — возможность совершения атаки «HTTP Request Smuggling», позволяющей через отправку специально оформленных клиентских запросов вклиниваться в содержимое запросов других пользователей, передаваемых через mod_proxy (например, можно добиться подстановки вредоносного JavaScript-кода в сеанс другого пользователя сайта). Проблема вызвана оставлением открытыми входящих соединений после возникновения ошибок при обработке некорректного тела запроса.
CVE-2022–23943 — переполнение буфера в модуле mod_sed, позволяющее перезаписать содержимое памяти кучи данными, контролируемыми атакующим.
CVE-2022–22721 — возможность записи за границу буфера из-за целочисленного переполнения, возникающего при передаче тела запроса размером более 350МБ. Проблема проявляется на 32-разрядных системах в настройках которых выставлено слишком большое значение LimitXMLRequestBody (по умолчанию 1 МБ, для атаки лимит должен быть выше 350 МБ).
CVE-2022–22719 — уязвимость в mod_lua, позволяющая добиться чтения случайных областей памяти и краха процесса при обработке специально оформленного тела запроса. Проблема вызвана использованием неинициализированных значений в коде функции r: parsebody.
Наиболее заметные изменения, не связанные с безопасностью:
- В mod_proxy повышен лимит на число символов в имени обработчика (worker). Добавлена возможность выборочной настройки таймаутов для бэкенда и фронтэнда (например, в привязке к worker-у). Для запросов, передаваемых через websockets или метод CONNECT, время таймаута изменено на максимальное значение, выставленное для бэкенда и фронтэнда.
Разделена обработка открытия DBM-файлов и загрузки DBM-драйвера. В случае сбоя в логе теперь отображаются более детальные сведения об ошибке и драйвере.
В mod_md прекращена обработка запросов к /.well-known/acme-challenge/, если в настройках домена явно не включено использование типа проверки 'http-01'.
В mod_dav устранено регрессивное изменение, приводящее к большому потреблению памяти при обработке большого числа ресурсов.
Добавлена возможность использования библиотеки pcre2 (10.x) вместо pcre (8.x) для обработки регулярных выражений.
В фильтры запросов добавлена поддержка анализа аномалий для протокола LDAP для корректного экранирования данных при попытке совершения атак по подстановке LDAP-конструкций.
В mpm_event устранена взаимная блокировка, возникающая при пепезапуске или превышении лимита MaxConnectionsPerChild на высоконагруженных систмах.
Источник: http://www.opennet.ru/opennews/art.shtml? num=56854
© OpenNet