Faz alguns dias o lançamento do a nova versão corretiva do servidor Apache HTTP 2.4.53, que introduz 14 alterações e corrige 4 vulnerabilidades. No anúncio desta nova versão é mencionado que é a última versão do branch 2.4.x do Apache HTTPD e representa quinze anos de inovação do projeto, sendo recomendado sobre todas as versões anteriores.
Para quem não conhece o Apache, deve saber que este é um popular servidor web HTTP de código aberto, que está disponível para plataformas Unix (BSD, GNU / Linux, etc.), Microsoft Windows, Macintosh e outros.
O que há de novo no Apache 2.4.53?
No lançamento desta nova versão do Apache 2.4.53, as mudanças não relacionadas à segurança mais notáveis são em mod_proxy, em que o limite do número de caracteres foi aumentado em nome do controlador, além da capacidade de alimentação também foi adicionada configurar seletivamente os tempos limite para back-end e front-end (por exemplo, em relação a um trabalhador). Para solicitações enviadas via websockets ou pelo método CONNECT, o tempo limite foi alterado para o valor máximo definido para o back-end e front-end.
Outra das mudanças que se destacam nesta nova versão é o manipulação separada de abrir arquivos DBM e carregar o driver DBM. Em caso de falha, o log agora mostra informações mais detalhadas sobre o erro e o driver.
En mod_md parou de processar solicitações para /.well-known/acme-challenge/ a menos que a configuração do domínio permitisse explicitamente o uso do tipo de desafio 'http-01', enquanto no mod_dav foi corrigida uma regressão que causava alto consumo de memória ao processar um grande número de recursos.
Por outro lado, destaca-se também que a capacidade de usar a biblioteca pcre2 (10.x) em vez de pcre (8.x) para processar expressões regulares e também adicionou suporte à análise de anomalias LDAP para filtros de consulta para filtrar dados corretamente ao tentar executar ataques de substituição de construção LDAP e que mpm_event corrigiu um impasse que ocorre ao reinicializar ou exceder o limite MaxConnectionsPerChild em sistemas altamente carregados.
Das vulnerabilidades que foram resolvidos nesta nova versão, são mencionados:
- CVE-2022-22720: isso permitiu a possibilidade de realizar um ataque "HTTP request smuggling", que permite, enviando solicitações de clientes especialmente criadas, invadir o conteúdo de solicitações de outros usuários transmitidas por mod_proxy (por exemplo, pode conseguir a substituição de código JavaScript malicioso na sessão de outro usuário do site). O problema é causado por conexões de entrada deixadas abertas após encontrar erros ao processar um corpo de solicitação inválido.
- CVE-2022-23943: essa era uma vulnerabilidade de estouro de buffer no módulo mod_sed que permite que a memória heap seja substituída por dados controlados pelo invasor.
- CVE-2022-22721: Essa vulnerabilidade permitia gravar no buffer fora dos limites devido a um estouro de número inteiro que ocorre ao passar um corpo de solicitação maior que 350 MB. O problema se manifesta em sistemas de 32 bits nos quais o valor LimitXMLRequestBody está configurado muito alto (por padrão 1 MB, para um ataque o limite deve ser maior que 350 MB).
- CVE-2022-22719: esta é uma vulnerabilidade no mod_lua que permite ler áreas de memória aleatórias e bloquear o processo quando um corpo de solicitação especialmente criado é processado. O problema é causado pelo uso de valores não inicializados no código da função r:parsebody.
Finalmente se você quiser saber mais sobre isso sobre este novo lançamento, você pode verificar os detalhes em o seguinte link.
Descarregar
Você pode obter a nova versão acessando o site oficial do Apache e na seção de download você encontrará o link para a nova versão.