Apache Software Foundation и Apache HTTP Server Project наскоро обявиха пускането на нова версия на Apache HTTP Server 2.4.54, тъй като тази версия на Apache е най-новата версия на GA на клона на Apache HTTPD от следващо поколение 2.4.x и представлява петнадесет години иновации от проекта и се препоръчва пред всички предишни версии. Тази версия на Apache е версия за сигурност, функции и корекция на грешки.
Новата версия, която se presents въвежда 19 промени и коригира 8 уязвимости, от които някои от тях позволяват достъп до данни, може да доведе и до отказ на услуга, наред с други неща.
Основни нови функции на Apache HTTP Server 2.4.54
В тази нова версия, която е представена на Apache HTTP Server 2.4.54 в mod_md, директивата MDCertificateAuthority позволява повече от едно CA име и URL, Освен, че добавени нови директиви: MDRetryDelay (дефинира забавянето преди изпращане на заявка за повторен опит) и MDRetryFailover (дефинира броя на повторните опити при неуспех, преди да изберете алтернативен CA).
Друга промяна, която се откроява, е тази в модула mod_http2 е почистен от неизползван и несигурен код, докато в mod_proxy в съобщенията за грешка, записани в дневника, вече се предоставя отражение на порта на бекенд мрежата и че в mod_heartmonitor стойността на параметъра HeartbeatMaxServers е променена от 0 на 10 (инициализация на 10 споделени слота за памет).
От друга страна, можем да го открием добавена поддръжка за "автоматично" състояние при показване на стойности във формат "ключ: стойност", плюс беше предоставена възможност за управление на сертификати за Tailscale Secure VPN потребители.
В mod_ssl режимът SSLFIPS вече е направен да поддържа OpenSSL 3.0, а помощната програма ab също така реализира поддръжка за TLSv1.3 (изисква свързване към SSL библиотека, която поддържа този протокол).
За частта от корекциите на грешки, направени в тази нова версия:
- CVE-2022 31813-: Уязвимост в mod_proxy, която позволява блокиране на изпращането на X-Forwarded-* заглавки с информация за IP адреса, от който е дошла първоначалната заявка. Проблемът може да се използва за заобикаляне на ограниченията за достъп въз основа на IP адреси.
- CVE-2022 30556-: Уязвимост в mod_lua, която позволява достъп до данни извън разпределения буфер чрез манипулации с функцията r:wsread() в скриптове на Lua, които сочат след края на разпределения буфер. Тази грешка може да бъде използвана в Apache HTTP Server 2.4.53 и по-стари версии.
- CVE-2022 30522-: отказ на услуга (недостатъчно налична памет) при обработка на определени данни от mod_sed. Ако Apache HTTP Server 2.4.53 е конфигуриран да извършва трансформации с mod_sed в контексти, където входът към mod_sed може да бъде много
large, mod_sed може да направи прекомерно големи разпределения на паметта и да задейства прекратяване. - CVE-2022 29404-: Отказът на услугата mod_lua се използва чрез изпращане на специално изработени заявки до манипулаторите на Lua, използвайки извикването r:parsebody(0).
- CVE-2022-28615, CVE-2022-28614: Отказ на услуга или достъп до данни в паметта на процеса поради грешки във функциите ap_strcmp_match() и ap_rwrite(), което води до четене на регион извън границата на буфера.
- CVE-2022-28330: Изтичане на информация извън границите в mod_isapi (проблемът се появява само на платформата Windows).
- CVE-2022 26377-: Модулът mod_proxy_ajp е уязвим към атаки от клас "HTTP Request Smuggling" на предни и бекенд системи, позволявайки съдържанието на заявките на други потребители да се обработва в една и съща нишка между предния и задния край.
Струва си да се спомене, че тази версия изисква Apache Portable Runtime (APR), минимална версия 1.5.x, и APR-Util, минимална версия 1.5.x. Някои функции може да изискват версия 1.6.x на APR и APR-Util. APR библиотеките трябва да бъдат актуализирани, за да работят правилно всички httpd функции.
Накрая ако се интересувате да научите повече за това за тази нова версия на Apache HTTP сървър, можете да проверите подробностите В следващия линк.