Το Apache Software Foundation και το Apache HTTP Server Project ανακοίνωσαν πρόσφατα την κυκλοφορία μιας νέας έκδοσης του Apache HTTP Server 2.4.54, επειδή αυτή η έκδοση του Apache είναι η πιο πρόσφατη έκδοση GA του κλάδου Apache HTTPD επόμενης γενιάς 2.4.x και αντιπροσωπεύει δεκαπέντε χρόνια καινοτομίας από το έργο και συνιστάται σε όλες τις προηγούμενες εκδόσεις. Αυτή η έκδοση του Apache είναι μια έκδοση ασφάλειας, δυνατότητας και διόρθωσης σφαλμάτων.
Η νέα έκδοση που sΤο e presents εισάγει 19 αλλαγές και διορθώνει 8 τρωτά σημεία, εκ των οποίων ορισμένοι από αυτούς επέτρεψαν πρόσβαση σε δεδομένα, θα μπορούσαν επίσης να οδηγήσουν σε άρνηση παροχής υπηρεσιών, μεταξύ άλλων.
Κύρια νέα χαρακτηριστικά του Apache HTTP Server 2.4.54
Σε αυτή τη νέα έκδοση που παρουσιάζεται του Apache HTTP Server 2.4.54 στο mod_md, η οδηγία MDCertificateAuthority επιτρέπει περισσότερα από ένα ονόματα CA και URL, εκτός αυτού προστέθηκαν νέες οδηγίες: MDRetryDelay (καθορίζει την καθυστέρηση πριν από την αποστολή αιτήματος επανάληψης) και MDRetryFailover (καθορίζει τον αριθμό των επαναλήψεων σε περίπτωση αποτυχίας πριν επιλέξετε μια εναλλακτική ΑΠ).
Μια άλλη αλλαγή που ξεχωρίζει είναι αυτή στη μονάδα Το mod_http2 έχει καθαριστεί από αχρησιμοποίητο και μη ασφαλή κώδικα, ενώ στο mod_proxy παρέχεται τώρα μια αντανάκλαση της θύρας δικτύου υποστήριξης στα μηνύματα σφάλματος που είναι γραμμένα στο αρχείο καταγραφής και ότι στο mod_heartmonitor η τιμή της παραμέτρου HeartbeatMaxServers έχει αλλάξει από 0 σε 10 (αρχικοποίηση 10 κοινόχρηστων υποδοχών μνήμης).
Από την άλλη πλευρά, μπορούμε να το βρούμε αυτό προστέθηκε υποστήριξη για την κατάσταση "αυτόματη" κατά την εμφάνιση τιμών στη μορφή "κλειδί: τιμή", καθώς και η δυνατότητα διαχείρισης πιστοποιητικών για χρήστες Tailscale Secure VPN.
Στο mod_ssl, η λειτουργία SSLFIPS είναι πλέον κατασκευασμένη για να υποστηρίζει το OpenSSL 3.0 και το βοηθητικό πρόγραμμα ab υλοποιεί επίσης υποστήριξη για το TLSv1.3 (απαιτείται σύνδεση με μια βιβλιοθήκη SSL που υποστηρίζει αυτό το πρωτόκολλο).
Για το μέρος των διορθώσεων σφαλμάτων που έγιναν σε αυτήν τη νέα έκδοση:
- CVE-2022-31813: Μια ευπάθεια στο mod_proxy που επιτρέπει τον αποκλεισμό της αποστολής κεφαλίδων X-Forwarded-* με πληροφορίες σχετικά με τη διεύθυνση IP από την οποία προήλθε το αρχικό αίτημα. Το ζήτημα μπορεί να χρησιμοποιηθεί για την παράκαμψη περιορισμών πρόσβασης με βάση τις διευθύνσεις IP.
- CVE-2022-30556: Μια ευπάθεια στο mod_lua που επιτρέπει την πρόσβαση σε δεδομένα εκτός του εκχωρημένου buffer μέσω χειρισμών με τη συνάρτηση r:wsread() σε σενάρια Lua που δείχνουν πέρα από το τέλος της εκχωρημένης αποθήκευσης buffer. Αυτό το σφάλμα μπορεί να χρησιμοποιηθεί στον Apache HTTP Server 2.4.53 και σε παλαιότερες εκδόσεις.
- CVE-2022-30522: άρνηση υπηρεσίας (ανεπαρκής διαθέσιμη μνήμη) κατά την επεξεργασία ορισμένων δεδομένων από το mod_sed. Εάν ο Apache HTTP Server 2.4.53 έχει ρυθμιστεί να εκτελεί μετασχηματισμούς με mod_sed σε περιβάλλοντα όπου η είσοδος στο mod_sed μπορεί να είναι πολύ
large, το mod_sed μπορεί να κάνει υπερβολικά μεγάλες εκχωρήσεις μνήμης και να προκαλέσει ματαίωση. - CVE-2022-29404: Η άρνηση υπηρεσίας mod_lua αξιοποιείται με την αποστολή ειδικά διαμορφωμένων αιτημάτων στους χειριστές Lua χρησιμοποιώντας την κλήση r:parsebody(0).
- CVE-2022-28615, CVE-2022-28614: Άρνηση υπηρεσίας ή πρόσβασης δεδομένων στη μνήμη διεργασιών λόγω σφαλμάτων στις συναρτήσεις ap_strcmp_match() και ap_rwrite(), με αποτέλεσμα την ανάγνωση μιας περιοχής εκτός του ορίου της προσωρινής μνήμης.
- CVE-2022-28330: Διαρροή πληροφοριών εκτός ορίων στο mod_isapi (το θέμα εμφανίζεται μόνο στην πλατφόρμα των Windows).
- CVE-2022-26377: Η λειτουργική μονάδα mod_proxy_ajp είναι ευάλωτη σε επιθέσεις κλάσης "HTTP Request Smuggling" σε συστήματα front-end-backend, επιτρέποντας την επεξεργασία του περιεχομένου των αιτημάτων άλλων χρηστών στο ίδιο νήμα μεταξύ του front-end και του back end.
Αξίζει να αναφέρουμε ότι αυτή η έκδοση απαιτεί Apache Portable Runtime (APR), ελάχιστη έκδοση 1.5.x και APR-Util, ελάχιστη έκδοση 1.5.x. Ορισμένες λειτουργίες ενδέχεται να απαιτούν την έκδοση 1.6.x του APR και του APR-Util. Οι βιβλιοθήκες APR πρέπει να ενημερωθούν για να λειτουργούν σωστά όλες οι συναρτήσεις httpd.
Τελικά αν ενδιαφέρεστε να μάθετε περισσότερα γι 'αυτό σχετικά με αυτήν τη νέα έκδοση του διακομιστή HTTP Apache, μπορείτε να ελέγξετε τις λεπτομέρειες Στον ακόλουθο σύνδεσμο.