Fa poc l'Apache Software Foundation i l'Apache HTTP Server Project van donar a conèixer el llançament d'una nova versió de Apache HTTP Server 2.4.54, sent aquesta versió d'Apache és la darrera versió GA de la branca de nova generació 2.4.x d'Apache HTTPD i representa quinze anys d'innovació per part del projecte i que es recomana sobre totes les versions anteriors. Aquesta versió de Apache és una versió de seguretat, característiques i correcció derrors.
La nova versió que se presenta introdueix 19 canvis i corregeix 8 vulnerabilitats, de les quals algunes permetien l'accés a dades, també podien conduir a denegació del servei, entre altres coses més.
Principals novetats d'Apache HTTP Server 2.4.54
En aquesta nova versió que es presenta d'Apache HTTP Server 2.4.54 a mod_md, la directiva MDCertificateAuthority permet més d'un nom de CA i URL, a més de que es van afegir noves directives: MDRetryDelay (definiu la demora abans d'enviar una sol·licitud de reintent) i MDRetryFailover (definiu la quantitat de reintents en cas de falla abans d'escollir una CA alternativa).
Un altre dels canvis que es destaca és que al mòdul mod_http2 s'ha netejat de codi no utilitzat i insegur, mentre que a mod_proxy ara es proporciona un reflex del port de xarxa back-end en els missatges d'error escrits al registre i que a mod_heartmonitor, el valor del paràmetre HeartbeatMaxServers s'ha canviat de 0 a 10 (inicialització de 10 ranures de memòria compartida).
D'altra banda, podrem trobar que es va afegir suport per a l'estat «automàtic» en mostrar valors en el format «clau: valor», a més que es va proporcionar la capacitat d'administrar certificats per a usuaris de VPN assegurances de Tailscale.
A mod_ssl, ara es fa que el mode SSLFIPS sigui compatible amb OpenSSL 3.0 ia més la utilitat ab implementa la compatibilitat amb TLSv1.3 (requereix l'enllaç a una biblioteca SSL que admeti aquest protocol).
Per la part de les correccions d'errors que es van fer en aquesta nova versió:
- CVE-2022-31813: Una vulnerabilitat a mod_proxy que permet bloquejar l'enviament de capçaleres X-Forwarded-* amb informació sobre l'adreça IP d'on va provenir la sol·licitud original. El problema es pot utilitzar per evitar restriccions d'accés basades en adreces IP.
- CVE-2022-30556: una vulnerabilitat a mod_lua que permet l'accés a dades fora del memòria intermèdia assignat mitjançant manipulacions amb la funció r:wsread() als scripts de Lua que apunten més enllà del final de l'emmagatzematge assignat per al memòria intermèdia. Aquesta fallada es pot explotar a Apache HTTP Server 2.4.53 i versions anteriors.
- CVE-2022-30522: denegació de servei (memòria disponible insuficient) en processar certes dades per mod_sed. Si Apache HTTP Server 2.4.53 està configurat per fer transformacions amb mod_sed en contextos on l'entrada a mod_sed pot ser molt
gran, mod_sed pot fer assignacions de memòria excessivament grans i desencadenar un avortament. - CVE-2022-29404: s'explota la denegació de servei mod_lua mitjançant l'enviament de sol·licituds especialment dissenyades als controladors de Lua mitjançant l'anomenada r:parsebody(0).
- CVE-2022-28615, CVE-2022-28614: denegació de servei o accés a dades a la memòria de procés a causa d'errors en les funcions ap_strcmp_match() i ap_rwrite(), cosa que dóna com a resultat la lectura d'una regió fora del límit del memòria intermèdia.
- CVE-2022-28330: Fugida d'informació fora dels límits a mod_isapi (el problema només apareix a la plataforma Windows).
- CVE-2022-26377: el mòdul mod_proxy_ajp és vulnerable als atacs de classe «Contrabant de sol·licituds HTTP» als sistemes front-end-backend, cosa que permet que el contingut de les sol·licituds d'altres usuaris es processi al mateix fil entre el front-end i el back-end.
Cal esmentar que aquesta versió requereix Apache Portable Runtime (APR), versió mínima 1.5.x, i APR-Util, versió mínima 1.5.x. Algunes funcions poden requerir la versió 1.6.x de APR i APR-Util. Les biblioteques APR s'han d'actualitzar perquè totes les funcions d'httpd funcionin correctament.
Finalment si estàs interessat en poder conèixer més a l'respecte sobre aquesta nova versió d'Apache HTTP server, podeu consultar els detalls en el següent enllaç.