Před pár dny vydání novou opravnou verzi serveru Apache HTTP 2.4.53, který zavádí 14 změn a opravuje 4 zranitelnosti. V oznámení této nové verze je uvedeno, že je to poslední vydání pobočky Vydání 2.4.x Apache HTTPD a představuje patnáct let inovací projektu a je doporučeno ve všech předchozích verzích.
Pro ty, kteří o Apache nevědí, by měli vědět, že to je populární open source webový server HTTP, který je k dispozici pro unixové platformy (BSD, GNU / Linux atd.), Microsoft Windows, Macintosh a další.
Co je nového v Apache 2.4.53?
Ve vydání této nové verze Apache 2.4.53 jsou nejpozoruhodnější změny nesouvisející se zabezpečením v mod_proxy, ve kterém byl zvýšen limit na počet znaků v názvu ovladače plus byla přidána také možnost napájení selektivně konfigurovat časové limity pro backend a frontend (například ve vztahu k dělníkovi). U požadavků odeslaných přes websockets nebo metodou CONNECT byl časový limit změněn na maximální hodnotu nastavenou pro backend a frontend.
Další ze změn, které v této nové verzi vynikají, je samostatné zpracování otevírání souborů DBM a načítání ovladače DBM. V případě havárie nyní protokol zobrazuje podrobnější informace o chybě a ovladači.
En mod_md přestal zpracovávat požadavky na /.well-known/acme-challenge/ pokud konfigurace domény výslovně neumožňovala použití typu výzvy 'http-01', zatímco v mod_dav byla opravena regrese, která způsobovala vysokou spotřebu paměti při zpracování velkého množství zdrojů.
Na druhou stranu je také zdůrazněno, že schopnost používat knihovnu pcre2 (10.x) místo pcre (8.x) pro zpracování regulárních výrazů a také přidána podpora analýzy anomálií LDAP do filtrů dotazů pro správné filtrování dat při pokusu o provedení substitučních útoků konstruktem LDAP a že mpm_event opravil uváznutí, ke kterému dochází při restartování nebo překročení limitu MaxConnectionsPerChild na vysoce zatížené systémy.
O zranitelnostech které byly vyřešeny v této nové verzi, jsou uvedeny následující:
- CVE-2022-22720: to umožnilo provést útok "HTTP request smuggling", který umožňuje odesláním speciálně vytvořených klientských požadavků nabourat se do obsahu požadavků jiných uživatelů přenášených přes mod_proxy (může například dosáhnout nahrazení škodlivý kód JavaScript v relaci jiného uživatele webu). Problém je způsoben tím, že příchozí připojení zůstávají otevřená po zjištění chyb při zpracování neplatného těla požadavku.
- CVE-2022-23943: šlo o zranitelnost přetečení vyrovnávací paměti v modulu mod_sed, která umožňuje přepsání paměti haldy daty kontrolovanými útočníky.
- CVE-2022-22721: Tato chyba zabezpečení umožnila zapisovat do vyrovnávací paměti mimo meze kvůli přetečení celého čísla, ke kterému dochází při předávání těla požadavku většího než 350 MB. Problém se projevuje na 32bitových systémech, ve kterých je hodnota LimitXMLRequestBody nakonfigurována příliš vysoko (standardně 1 MB, pro útok musí být limit větší než 350 MB).
- CVE-2022-22719: toto je zranitelnost v mod_lua, která umožňuje čtení náhodných oblastí paměti a blokování procesu, když je zpracováváno speciálně vytvořené tělo požadavku. Problém je způsoben použitím neinicializovaných hodnot v kódu funkce r:parsebody.
Konečně pokud o tom chcete vědět víc o tomto novém vydání, můžete zkontrolovat podrobnosti v následující odkaz.
Plnění
Novou verzi můžete získat na oficiálních webových stránkách Apache a v její sekci pro stahování najdete odkaz na novou verzi.