Apache Software Foundation i Apache HTTP Server Project nedavno su najavili izdavanje nove verzije Apache HTTP Server 2.4.54, budući da je ova verzija Apachea, najnovija je GA verzija Apache HTTPD nove generacije 2.4.x grane i predstavlja petnaest godina inovacije projekta i preporučuje se u odnosu na sve prethodne verzije. Ovo izdanje Apachea je izdanje za sigurnost, funkciju i ispravku grešaka.
Nova verzija koja se presents uvodi 19 izmjena i popravlja 8 ranjivosti, od kojih su neki od njih dozvolili pristup podacima, moglo bi, između ostalog, dovesti i do uskraćivanja usluge.
Glavne nove karakteristike Apache HTTP servera 2.4.54
U ovoj novoj verziji koja je predstavljena Apache HTTP servera 2.4.54 u mod_md, MDCertificateAuthority direktiva dozvoljava više od jednog CA imena i URL-a, pored toga dodane nove direktive: MDRetryDelay (definira kašnjenje prije slanja zahtjeva za ponovni pokušaj) i MDRetryFailover (definira broj pokušaja u slučaju neuspjeha prije odabira alternativnog CA).
Još jedna promjena koja se ističe je ona u modulu mod_http2 je očišćen od nekorištenog i nesigurnog koda, dok je u mod_proxy odraz pozadinskog mrežnog porta sada dat u porukama o grešci upisanim u dnevnik i da je u mod_heartmonitor vrijednost parametra HeartbeatMaxServers promijenjena sa 0 na 10 (inicijalizacija 10 zajedničkih memorijskih slotova).
S druge strane, to možemo pronaći dodata podrška za "auto" status pri prikazivanju vrijednosti u formatu "ključ: vrijednost", plus omogućena je mogućnost upravljanja certifikatima za Tailscale Secure VPN korisnike.
U mod_ssl, SSLFIPS način je sada napravljen da podržava OpenSSL 3.0, a uslužni program ab također implementira podršku za TLSv1.3 (zahteva povezivanje sa SSL bibliotekom koja podržava ovaj protokol).
Za dio ispravki grešaka koje su napravljene u ovoj novoj verziji:
- CVE-2022-31813: Ranjivost u mod_proxy koja dozvoljava blokiranje slanja X-Forwarded-* zaglavlja sa informacijama o IP adresi odakle je došao originalni zahtjev. Problem se može koristiti za zaobilaženje ograničenja pristupa na osnovu IP adresa.
- CVE-2022-30556: Ranjivost u mod_lua koja omogućava pristup podacima izvan dodijeljenog bafera putem manipulacija s funkcijom r:wsread() u Lua skriptama koje pokazuju kraj dodijeljenog bafera. Ova greška se može iskoristiti u Apache HTTP serveru 2.4.53 i starijim verzijama.
- CVE-2022-30522: uskraćivanje usluge (nedovoljno raspoložive memorije) kada obrađuje određene podatke mod_sed. Ako je Apache HTTP server 2.4.53 konfiguriran da izvodi transformacije sa mod_sed u kontekstima u kojima bi unos u mod_sed mogao biti vrlo
large, mod_sed može napraviti pretjerano velike alokacije memorije i pokrenuti prekid. - CVE-2022-29404: Mod_lua uskraćivanje usluge se iskorištava slanjem posebno kreiranih zahtjeva Lua rukovaocima koristeći poziv r:parsebody(0).
- CVE-2022-28615, CVE-2022-28614: Uskraćivanje usluge ili pristupa podacima u memoriji procesa zbog grešaka u funkcijama ap_strcmp_match() i ap_rwrite(), što rezultira čitanjem regije izvan granice međuspremnika.
- CVE-2022-28330: Curenje informacija izvan granica u mod_isapi (problem se pojavljuje samo na Windows platformi).
- CVE-2022-26377: Mod_proxy_ajp modul je ranjiv na napade klase "HTTP Request Smuggling" na front-end-backend sisteme, dozvoljavajući da se sadržaj zahtjeva drugih korisnika obrađuje na istoj niti između front-end-a i back-end-a.
Vrijedi napomenuti da ova verzija zahtijeva Apache Portable Runtime (APR), minimalnu verziju 1.5.x, i APR-Util, minimalnu verziju 1.5.x. Neke funkcije mogu zahtijevati verziju 1.6.x APR-a i APR-Util-a. APR biblioteke moraju biti ažurirane da bi sve httpd funkcije ispravno radile.
Konačno ako ste zainteresirani da saznate više o tome o ovoj novoj verziji Apache HTTP servera, možete provjeriti detalje Na sledećem linku.