02.02.2023

Релиз http-сервера Apache 2.4.54 с устранением уязвимостей

Опубликован релиз HTTP-сервера Apache 2.4.53, в котором представлено 19 изменений и устранено 8 уязвимостей:

  • CVE-2022-31813 — уязвимость в mod_proxy, позволяющая блокировать отправку заголовков X-Forwarded-* с информацией об IP-адресе, с которого поступил изначальных запрос. Проблема может быть использована для обхода ограничений доступа по IP-адресам.
  • CVE-2022-30556 — уязвимость в mod_lua, позволяющая получить доступ к данным за пределами выделенного буфера через манипуляции с функцией r:wsread() в Lua-скриптах.
  • CVE-2022-30522 — отказ в обслуживании (исчерпание доступной памяти) при обработке определённых данных модулем mod_sed.
  • CVE-2022-29404 — отказ в обслуживании в mod_lua, эксплуатируемый через отправку специальной оформленных запросов Lua-обработчикам, использующим вызов r:parsebody(0).
  • CVE-2022-28615, CVE-2022-28614 — отказ в обслуживании или получение доступа к данным в памяти процесса из-за ошибок в функциях ap_strcmp_match() и ap_rwrite(), приводящих к чтению из области за границей буфера.
  • CVE-2022-28330 — утечка информации из областей вне границ буфера в mod_isapi (проблема проявляется только на платформе Windows).
  • CVE-2022-26377 — модуль mod_proxy_ajp подвержен атакам класса «HTTP Request Smuggling» на системы фронтэнд-бэкенд, позволяющим вклиниваться в содержимое запросов других пользователей, обрабатываемых в том же потоке между фронтэндом и бэкендом.

Наиболее заметные изменения, не связанные с безопасностью:

  • В mod_ssl обеспечена совместимость режима SSLFIPS с OpenSSL 3.0.
  • В утилите ab реализована поддержка TLSv1.3 (требуется связывание с SSL-библиотекой, поддерживающей данный протокол).
  • В mod_md в директиве MDCertificateAuthority разрешено использование более одного имени и URL удостоверяющего центра. Добавлены новые директивы: MDRetryDelay (определяет задержку перед отправкой повторного запроса) и MDRetryFailover (определяет число повторных попыток в случае сбоя перед выбором альтернативного удостоверяющего центра). Добавлена поддержка состояния «auto» при выводе значений в формате «key: value». Предоставлена возможность управления сертификатами для пользователей защищённой VPN-сети Tailscale.
  • Проведена чистка модуля mod_http2 от неиспользуемого и небезопасного кода.
  • В mod_proxy обеспечено отражение сетевого порта бэкенда в сообщениях об ошибках, записываемых в лог.
  • В mod_heartmonitor значение параметра HeartbeatMaxServers изменено с 0 до 10 (инициализации 10 слотов разделяемой памяти).

Источник.