Apache HTTP Server 2.4.54 arriba amb 19 canvis i corregeix 8 vulnerabilitats

Fa poc l'Apache Software Foundation i l'Apache HTTP Server Project van donar a conèixer el llançament d'una nova versió de Apache HTTP Server 2.4.54, sent aquesta versió d'Apache és la darrera versió GA de la branca de nova generació 2.4.x d'Apache HTTPD i representa quinze anys d'innovació per part del projecte i que es recomana sobre totes les versions anteriors. Aquesta versió de Apache és una versió de seguretat, característiques i correcció derrors.

La nova versió que se presenta introdueix 19 canvis i corregeix 8 vulnerabilitats, de les quals algunes permetien l'accés a dades, també podien conduir a denegació del servei, entre altres coses més.

Principals novetats d'Apache HTTP Server 2.4.54

En aquesta nova versió que es presenta d'Apache HTTP Server 2.4.54 a mod_md, la directiva MDCertificateAuthority permet més d'un nom de CA i URL, a més de que es van afegir noves directives: MDRetryDelay (definiu la demora abans d'enviar una sol·licitud de reintent) i MDRetryFailover (definiu la quantitat de reintents en cas de falla abans d'escollir una CA alternativa).

Un altre dels canvis que es destaca és que al mòdul mod_http2 s'ha netejat de codi no utilitzat i insegur, mentre que a mod_proxy ara es proporciona un reflex del port de xarxa back-end en els missatges d'error escrits al registre i que a mod_heartmonitor, el valor del paràmetre HeartbeatMaxServers s'ha canviat de 0 a 10 (inicialització de 10 ranures de memòria compartida).

D'altra banda, podrem trobar que es va afegir suport per a l'estat «automàtic» en mostrar valors en el format «clau: valor», a més que es va proporcionar la capacitat d'administrar certificats per a usuaris de VPN assegurances de Tailscale.

A mod_ssl, ara es fa que el mode SSLFIPS sigui compatible amb OpenSSL 3.0 ia més la utilitat ab implementa la compatibilitat amb TLSv1.3 (requereix l'enllaç a una biblioteca SSL que admeti aquest protocol).

Per la part de les correccions d'errors que es van fer en aquesta nova versió:

  • CVE-2022-31813: Una vulnerabilitat a mod_proxy que permet bloquejar l'enviament de capçaleres X-Forwarded-* amb informació sobre l'adreça IP d'on va provenir la sol·licitud original. El problema es pot utilitzar per evitar restriccions d'accés basades en adreces IP.
  • CVE-2022-30556: una vulnerabilitat a mod_lua que permet l'accés a dades fora del memòria intermèdia assignat mitjançant manipulacions amb la funció r:wsread() als scripts de Lua que apunten més enllà del final de l'emmagatzematge assignat per al memòria intermèdia. Aquesta fallada es pot explotar a Apache HTTP Server 2.4.53 i versions anteriors.
  • CVE-2022-30522: denegació de servei (memòria disponible insuficient) en processar certes dades per mod_sed. Si Apache HTTP Server 2.4.53 està configurat per fer transformacions amb mod_sed en contextos on l'entrada a mod_sed pot ser molt
    gran, mod_sed pot fer assignacions de memòria excessivament grans i desencadenar un avortament.
  • CVE-2022-29404: s'explota la denegació de servei mod_lua mitjançant l'enviament de sol·licituds especialment dissenyades als controladors de Lua mitjançant l'anomenada r:parsebody(0).
  • CVE-2022-28615, CVE-2022-28614: denegació de servei o accés a dades a la memòria de procés a causa d'errors en les funcions ap_strcmp_match() i ap_rwrite(), cosa que dóna com a resultat la lectura d'una regió fora del límit del memòria intermèdia.
  • CVE-2022-28330: Fugida d'informació fora dels límits a mod_isapi (el problema només apareix a la plataforma Windows).
  • CVE-2022-26377: el mòdul mod_proxy_ajp és vulnerable als atacs de classe «Contrabant de sol·licituds HTTP» als sistemes front-end-backend, cosa que permet que el contingut de les sol·licituds d'altres usuaris es processi al mateix fil entre el front-end i el back-end.

Cal esmentar que aquesta versió requereix Apache Portable Runtime (APR), versió mínima 1.5.x, i APR-Util, versió mínima 1.5.x. Algunes funcions poden requerir la versió 1.6.x de APR i APR-Util. Les biblioteques APR s'han d'actualitzar perquè totes les funcions d'httpd funcionin correctament.

Finalment si estàs interessat en poder conèixer més a l'respecte sobre aquesta nova versió d'Apache HTTP server, podeu consultar els detalls en el següent enllaç.


El contingut d'l'article s'adhereix als nostres principis de ètica editorial. Per notificar un error punxa aquí.

Sigues el primer a comentar

Deixa el teu comentari

La seva adreça de correu electrònic no es publicarà. Els camps obligatoris estan marcats amb *

*

*

  1. Responsable de les dades: Miguel Ángel Gatón
  2. Finalitat de les dades: Controlar l'SPAM, gestió de comentaris.
  3. Legitimació: El teu consentiment
  4. Comunicació de les dades: No es comunicaran les dades a tercers excepte per obligació legal.
  5. Emmagatzematge de les dades: Base de dades allotjada en Occentus Networks (UE)
  6. Drets: En qualsevol moment pots limitar, recuperar i esborrar la teva informació.