Релиз http-сервера Apache 2.4.54 с устранением уязвимостей11.06.2022 13:01

Опубликован релиз HTTP-сервера Apache 2.4.53, в котором представлено 19 изменений и устранено 8 уязвимостей:

  • CVE-2022–31813 — уязвимость в mod_proxy, позволяющая блокировать отправку заголовков X-Forwarded-* с информацией об IP-адресе, с которого поступил изначальных запрос. Проблема может быть использована для обхода ограничений доступа по IP-адресам.

  • CVE-2022–30556 — уязвимость в mod_lua, позволяющая получить доступ к данным за пределами выделенного буфера через манипуляции с функцией r: wsread () в Lua-скриптах.

  • CVE-2022–30522 — отказ в обслуживании (исчерпание доступной памяти) при обработке определённых данных модулем mod_sed.

  • CVE-2022–29404 — отказ в обслуживании в mod_lua, эксплуатируемый через отправку специальной оформленных запросов Lua-обработчикам, использующим вызов r: parsebody (0).

  • CVE-2022–28615, CVE-2022–28614 — отказ в обслуживании или получение доступа к данным в памяти процесса из-за ошибок в функциях ap_strcmp_match () и ap_rwrite (), приводящих к чтению из области за границей буфера.

  • CVE-2022–28330 — утечка информации из областей вне границ буфера в mod_isapi (проблема проявляется только на платформе Windows).

  • CVE-2022–26377 — модуль mod_proxy_ajp подвержен атакам класса «HTTP Request Smuggling» на системы фронтэнд-бэкенд, позволяющим вклиниваться в содержимое запросов других пользователей, обрабатываемых в том же потоке между фронтэндом и бэкендом.

Наиболее заметные изменения, не связанные с безопасностью:

  • В mod_ssl обеспечена совместимость режима SSLFIPS с OpenSSL 3.0.

  • В утилите ab реализована поддержка TLSv1.3 (требуется связывание с SSL-библиотекой, поддерживающей данный протокол).

  • В mod_md в директиве MDCertificateAuthority разрешено использование более одного имени и URL удостоверяющего центра. Добавлены новые директивы: MDRetryDelay (определяет задержку перед отправкой повторного запроса) и MDRetryFailover (определяет число повторных попыток в случае сбоя перед выбором альтернативного удостоверяющего центра). Добавлена поддержка состояния «auto» при выводе значений в формате «key: value». Предоставлена возможность управления сертификатами для пользователей защищённой VPN-сети Tailscale.

  • Проведена чистка модуля mod_http2 от неиспользуемого и небезопасного кода.

  • В mod_proxy обеспечено отражение сетевого порта бэкенда в сообщениях об ошибках, записываемых в лог.

  • В mod_heartmonitor значение параметра HeartbeatMaxServers изменено с 0 до 10 (инициализации 10 слотов разделяемой памяти).



Источник: http://www.opennet.ru/opennews/art.shtml? num=57334

© OpenNet