Een paar dagen geleden het uitkomen van de nieuwe corrigerende versie van de server Apache HTTP 2.4.53, die 14 wijzigingen introduceert en 4 kwetsbaarheden verhelpt. In de aankondiging van deze nieuwe versie wordt vermeld dat: het is de laatste release van de branch 2.4.x release van Apache HTTPD en vertegenwoordigt vijftien jaar innovatie door het project, en wordt aanbevolen boven alle eerdere versies.
Voor degenen die niet weten over Apache, ze moeten weten dat dit is een populaire open source HTTP-webserver, die beschikbaar is voor Unix-platforms (BSD, GNU / Linux, enz.), Microsoft Windows, Macintosh en andere.
Wat is er nieuw in Apache 2.4.53?
In de release van deze nieuwe versie van Apache 2.4.53 zijn de meest opvallende niet-beveiligingsgerelateerde wijzigingen: in mod_proxy, waarin de limiet op het aantal tekens is verhoogd in de naam van de controller, plus de mogelijkheid om te voeden werd ook toegevoegd selectief time-outs configureren voor backend en frontend (bijvoorbeeld in relatie tot een werknemer). Voor verzoeken die via websockets of de CONNECT-methode worden verzonden, is de time-out gewijzigd in de maximale waarde die is ingesteld voor de backend en frontend.
Een andere van de veranderingen die opvalt in deze nieuwe versie is de aparte afhandeling van het openen van DBM-bestanden en het laden van het DBM-stuurprogramma. In het geval van een crash toont het logboek nu meer gedetailleerde informatie over de fout en de driver.
En mod_md is gestopt met het verwerken van verzoeken aan /.well-known/acme-challenge/ tenzij de domeinconfiguratie expliciet het gebruik van het 'http-01'-uitdagingstype toestond, terwijl in mod_dav een regressie was opgelost die een hoog geheugenverbruik veroorzaakte bij het verwerken van een groot aantal bronnen.
Aan de andere kant wordt ook benadrukt dat de mogelijkheid om pcre2-bibliotheek te gebruiken (10.x) in plaats van pcre (8.x) om reguliere expressies te verwerken en ook ondersteuning voor LDAP-anomalie-parsing toegevoegd aan queryfilters om gegevens correct te filteren bij een poging om LDAP-constructievervangingsaanvallen uit te voeren en dat mpm_event een impasse heeft opgelost die optreedt bij opnieuw opstarten of het overschrijden van de MaxConnectionsPerChild-limiet op hoogbelaste systemen.
Van de kwetsbaarheden die in deze nieuwe versie zijn opgelost, worden het volgende genoemd:
- CVE-2022-22720: dit maakte het mogelijk om een "HTTP-verzoeksmokkel"-aanval uit te voeren, waardoor, door speciaal vervaardigde clientverzoeken te verzenden, de inhoud van verzoeken van andere gebruikers die via mod_proxy zijn verzonden, kan worden gehackt (het kan bijvoorbeeld de vervanging van kwaadaardige JavaScript-code in de sessie van een andere gebruiker van de site). Het probleem wordt veroorzaakt doordat inkomende verbindingen open worden gelaten nadat er fouten zijn opgetreden bij het verwerken van een ongeldige aanvraagtekst.
- CVE-2022-23943: dit was een kwetsbaarheid voor bufferoverloop in de mod_sed-module waarmee heapgeheugen kan worden overschreven met door een aanvaller gecontroleerde gegevens.
- CVE-2022-22721: Dit beveiligingslek maakte het mogelijk om buiten de grenzen naar de buffer te schrijven vanwege een integer-overloop die optreedt bij het doorgeven van een aanvraagtekst die groter is dan 350 MB. Het probleem manifesteert zich op 32-bits systemen waarbij de LimitXMLRequestBody-waarde te hoog is ingesteld (standaard 1 MB, voor een aanval moet de limiet groter zijn dan 350 MB).
- CVE-2022-22719: dit is een kwetsbaarheid in mod_lua waarmee willekeurige geheugengebieden kunnen worden gelezen en het proces kan worden geblokkeerd wanneer een speciaal vervaardigde aanvraagtekst wordt verwerkt. Het probleem wordt veroorzaakt door het gebruik van niet-geïnitialiseerde waarden in de code van de r:parsebody-functie.
Eindelijk als je er meer over wilt weten over deze nieuwe release, kun je de details bekijken in de volgende link.
Ontladen
U kunt de nieuwe versie downloaden door naar de officiële Apache-website te gaan en in de downloadsectie vindt u de link naar de nieuwe versie.