Pred niekoľkými dňami prepustenie novú opravnú verziu servera Apache HTTP 2.4.53, ktorá prináša 14 zmien a opravuje 4 zraniteľnosti. V oznámení o tejto novej verzii sa uvádza, že je to posledné vydanie pobočky Vydanie 2.4.x Apache HTTPD a predstavuje pätnásť rokov inovácií v rámci projektu a odporúča sa oproti všetkým predchádzajúcim verziám.
Pre tých, ktorí nevedia o Apache, by mali vedieť, že toto je populárny webový server HTTP s otvoreným zdrojom, ktorý je k dispozícii pre platformy Unix (BSD, GNU / Linux atď.), Microsoft Windows, Macintosh a ďalšie.
Čo je nové v Apache 2.4.53?
Vo vydaní tejto novej verzie Apache 2.4.53 sú najvýznamnejšie zmeny nesúvisiace s bezpečnosťou v mod_proxy, v ktorom bol zvýšený limit na počet znakov v názve ovládača plus pribudla aj možnosť napájania selektívne konfigurovať časové limity pre backend a frontend (napríklad vo vzťahu k pracovníkovi). Pre požiadavky odoslané cez websockets alebo metódu CONNECT sa časový limit zmenil na maximálnu hodnotu nastavenú pre backend a frontend.
Ďalšou zo zmien, ktorá vyniká v tejto novej verzii, je oddelená manipulácia s otváraním súborov DBM a načítavaním ovládača DBM. V prípade havárie sa v denníku teraz zobrazujú podrobnejšie informácie o chybe a ovládači.
En mod_md prestal spracovávať požiadavky na /.well-known/acme-challenge/ pokiaľ konfigurácia domény výslovne neumožňovala použitie typu výzvy 'http-01', kým v mod_dav bola opravená regresia, ktorá spôsobovala vysokú spotrebu pamäte pri spracovaní veľkého množstva zdrojov.
Na druhej strane sa tiež zdôrazňuje, že schopnosť používať knižnicu pcre2 (10.x) namiesto pcre (8.x) na spracovanie regulárnych výrazov a tiež pridala podporu analýzy anomálií LDAP do filtrov dotazov na správne filtrovanie údajov pri pokuse o vykonanie substitučných útokov LDAP a že mpm_event opravil uviaznutie, ku ktorému dochádza pri reštarte alebo prekročení limitu MaxConnectionsPerChild na vysoko zaťažené systémy.
O zraniteľnostiach ktoré boli vyriešené v tejto novej verzii, sú uvedené nasledovné:
- CVE-2022-22720: to umožnilo vykonať útok "HTTP request smuggling", ktorý umožňuje odoslaním špeciálne vytvorených požiadaviek klienta nabúrať sa do obsahu požiadaviek iných používateľov prenášaných cez mod_proxy (napríklad môže dosiahnuť nahradenie škodlivý kód JavaScript v relácii iného používateľa stránky). Problém je spôsobený tým, že prichádzajúce pripojenia zostávajú otvorené po tom, čo sa vyskytnú chyby pri spracovaní neplatného tela požiadavky.
- CVE-2022-23943: toto bola zraniteľnosť pretečenia vyrovnávacej pamäte v module mod_sed, ktorá umožňuje prepísanie pamäte haldy údajmi kontrolovanými útočníkmi.
- CVE-2022-22721: Táto chyba zabezpečenia umožnila zapisovať do vyrovnávacej pamäte mimo hraníc v dôsledku pretečenia celého čísla, ku ktorému dochádza pri odovzdávaní tela požiadavky väčšieho ako 350 MB. Problém sa prejavuje na 32-bitových systémoch, v ktorých je hodnota LimitXMLRequestBody nakonfigurovaná príliš vysoko (štandardne 1 MB, pre útok musí byť limit väčší ako 350 MB).
- CVE-2022-22719: toto je zraniteľnosť v mod_lua, ktorá umožňuje čítanie náhodných oblastí pamäte a blokovanie procesu, keď sa spracováva špeciálne vytvorené telo požiadavky. Problém je spôsobený použitím neinicializovaných hodnôt v kóde funkcie r:parsebody.
Konečne ak o tom chcete vedieť viac o tomto novom vydaní môžete skontrolovať podrobnosti v nasledujúci odkaz.
Plnenie
Novú verziu získate na oficiálnej webovej stránke Apache a v jej sekcii na stiahnutie nájdete odkaz na novú verziu.