Qualche giorno fa il rilascio di la nuova versione correttiva del server Apache HTTP 2.4.53, che introduce 14 modifiche e risolve 4 vulnerabilità. Nell'annuncio di questa nuova versione è menzionato che è l'ultima versione del ramo 2.4.x di Apache HTTPD e rappresenta quindici anni di innovazione da parte del progetto, ed è consigliato su tutte le versioni precedenti.
Per coloro che non conoscono Apache, dovrebbero sapere che lo è un popolare server Web HTTP open source, disponibile per piattaforme Unix (BSD, GNU / Linux, ecc.), Microsoft Windows, Macintosh e altri.
Cosa c'è di nuovo in Apache 2.4.53?
Nel rilascio di questa nuova versione di Apache 2.4.53 le modifiche più importanti non relative alla sicurezza sono in mod_proxy, in cui è stato aumentato il limite al numero di caratteri a nome del controllore, in più è stata aggiunta anche la possibilità di alimentare configurare selettivamente i timeout per back-end e front-end (ad esempio, in relazione a un lavoratore). Per le richieste inviate tramite websocket o il metodo CONNECT, il timeout è stato modificato al valore massimo impostato per il backend e il frontend.
Un altro dei cambiamenti che spicca in questa nuova versione è il gestione separata dell'apertura dei file DBM e del caricamento del driver DBM. In caso di arresto anomalo, il registro ora mostra informazioni più dettagliate sull'errore e sul driver.
En mod_md ha interrotto l'elaborazione delle richieste a /.well-known/acme-challenge/ a meno che la configurazione del dominio non abilitasse esplicitamente l'uso del tipo challenge 'http-01', mentre in mod_dav veniva corretta una regressione che causava un consumo elevato di memoria durante l'elaborazione di un numero elevato di risorse.
D'altra parte, si evidenzia anche che il capacità di utilizzare la libreria pcre2 (10.x) invece di pcre (8.x) per elaborare espressioni regolari e ha anche aggiunto il supporto per l'analisi delle anomalie LDAP ai filtri di query per filtrare correttamente i dati quando si tenta di eseguire attacchi di sostituzione di costrutti LDAP e che mpm_event ha risolto un deadlock che si verificava al riavvio o al superamento del limite MaxConnectionsPerChild su sistemi ad alto carico.
Delle vulnerabilità che sono stati risolti in questa nuova versione, si menzionano i seguenti:
- CVE-2022-22720: ciò ha consentito la possibilità di poter eseguire un attacco di "contrabbando di richieste HTTP", che consente, inviando richieste client appositamente predisposte, di hackerare il contenuto delle richieste di altri utenti trasmesse tramite mod_proxy (ad esempio, può ottenere la sostituzione di codice JavaScript dannoso nella sessione del sito di un altro utente). Il problema è causato dal fatto che le connessioni in entrata vengono lasciate aperte dopo aver riscontrato errori nell'elaborazione di un corpo della richiesta non valido.
- CVE-2022-23943: si trattava di una vulnerabilità di overflow del buffer nel modulo mod_sed che consente di sovrascrivere la memoria heap con i dati controllati dall'attaccante.
- CVE-2022-22721: Questa vulnerabilità ha consentito la possibilità di scrivere nel buffer fuori dai limiti a causa di un overflow di numeri interi che si verifica quando si passa un corpo della richiesta di dimensioni superiori a 350 MB. Il problema si manifesta su sistemi a 32 bit in cui il valore LimitXMLRequestBody è configurato troppo alto (di default 1 MB, per un attacco il limite deve essere maggiore di 350 MB).
- CVE-2022-22719: questa è una vulnerabilità in mod_lua che consente di leggere aree di memoria casuali e bloccare il processo quando viene elaborato un corpo di richiesta appositamente predisposto. Il problema è causato dall'utilizzo di valori non inizializzati nel codice della funzione r:parsebody.
Infine se vuoi saperne di più riguardo a questa nuova versione, puoi controllare i dettagli in il seguente collegamento.
Scarico
Puoi ottenere la nuova versione andando sul sito web ufficiale di Apache e nella sua sezione download troverai il link alla nuova versione.