Fa alguns dies es va donar a conèixer l'alliberament de la nova versió correctiva del servidor HTTP Apache 2.4.53, la qual introdueix 14 canvis i corregeix 4 vulnerabilitats. A l'anunci d'aquesta nova versió s'esmenta que és l'últim llançament de la branca de nova generació 2.4.x d'Apache HTTPD i representa quinze anys d'innovació per part del projecte, i és recomanada sobre totes les versions anteriors.
Per als que desconeixen d'Apache, han de saber que aquest és un popular servidor web HTTP de codi obert, El qual està disponible per a les plataformes Unix (BSD, GNU / Linux, etc.), Microsoft Windows, Macintosh i altres.
Què hi ha de nou a Apache 2.4.53?
A l'alliberament d'aquesta nova versió d'Apache 2.4.53 els canvis no relacionats amb la seguretat més notables són a mod_proxy, en el qual es va augmentar el límit en la quantitat de caràcters en el nom del controlador, a més que també es va afegir la capacitat de poder configurar de forma selectiva els temps d'espera per al backend i el frontend (per exemple, en relació amb un treballador). Per a les sol·licituds enviades a través de websockets o el mètode CONNECT, el temps despera sha canviat al valor màxim establert per al backend i el frontend.
Un altre dels canvis que es destaca d'aquesta nova versió és el maneig separat dobrir arxius DBM i carregar el controlador DBM. En cas d'un bloqueig, ara el registre mostra informació més detallada sobre l'error i el controlador.
En mod_md es va deixar de processar les sol·licituds a /.well-known/acme-challenge/ tret que la configuració del domini habilités explícitament l'ús del tipus de desafiament 'http-01', mentre que a mod_dav es va corregir una regressió que causava un alt consum de memòria en processar una gran quantitat de recursos.
D'altra banda, també es destaca que es va afegir la capacitat d'usar la biblioteca pcre2 (10.x) en lloc de pcre (8.x) per processar expressions regulars i que també es va afegir la compatibilitat amb l'anàlisi d'anomalies de LDAP als filtres de consulta per filtrar correctament les dades en intentar realitzar atacs de substitució de construccions de LDAP i que mpm_event va solucionar un interbloqueig que passa en reiniciar o excedir el límit de MaxConnectionsPerChild en sistemes altament carregats.
De les vulnerabilitats que van ser solucionades en aquesta nova versió, s'esmenten les següents:
- CVE-2022-22720: aquesta permetia la possibilitat de poder realitzar un atac de «contraban de sol·licituds HTTP», que permet, mitjançant l'enviament de sol·licituds de clients especialment dissenyades, introduir-se al contingut de les sol·licituds d'altres usuaris transmeses a través de mod_proxy (per exemple, pot aconseguir la substitució de codi JavaScript maliciós a la sessió d'un altre usuari del lloc). El problema és perquè es deixen obertes les connexions entrants després de trobar errors en processar un cos de sol·licitud no vàlid.
- CVE-2022-23943: aquesta era una vulnerabilitat de desbordament de memòria intermèdia al mòdul mod_sed que permet sobreescriure la memòria del munt amb dades controlades per l'atacant.
- CVE-2022-22721: aquesta vulnerabilitat permetia la capacitat per escriure al memòria intermèdia fora dels límits a causa d'un desbordament d'enters que es produeix en passar un cos de sol·licitud de més de 350 MB. El problema es manifesta en sistemes de 32 bits en la configuració dels quals el valor LimitXMLRequestBody és massa alt (per defecte 1 MB, per a un atac el límit ha de ser superior a 350 MB).
- CVE-2022-22719: aquesta és una vulnerabilitat a mod_lua que permet llegir àrees de memòria aleatòries i bloquejar el procés quan es processa un cos de sol·licitud especialment dissenyat. El problema es deu a l'ús de valors no inicialitzats al codi de la funció r:parsebody.
Finalment si vols conèixer més a l'respecte sobre aquest nou llançament, pots consultar els detalls a el següent enllaç.
Descàrrega
Pots obtenir la nova versió dirigint-te a la pàgina web oficial d'Apache i en la seva secció de descàrregues trobaràs l'enllaç a la nova versió.