La Apache Software Foundation e l'Apache HTTP Server Project hanno recentemente annunciato il rilascio di una nuova versione di Apache HTTP Server 2.4.54, essendo questa versione di Apache è l'ultima versione GA del ramo Apache HTTPD di nuova generazione 2.4.x e rappresenta quindici anni di innovazione da parte del progetto ed è consigliato su tutte le versioni precedenti. Questa versione di Apache è una versione di sicurezza, funzionalità e correzione di bug.
La nuova versione che se presenta introduce 19 modifiche e risolve 8 vulnerabilità, di cui alcuni di essi hanno consentito l'accesso ai dati, potrebbe comportare, tra l'altro, anche la negazione del servizio.
Principali novità di Apache HTTP Server 2.4.54
In questa nuova versione presentata di Apache HTTP Server 2.4.54 in mod_md, la direttiva MDCertificateAuthority consente più di un nome CA e URL, a parte quello aggiunte nuove direttive: MDRetryDelay (definisce il ritardo prima di inviare una richiesta di nuovo tentativo) e MDRetryFailover (definisce il numero di tentativi in caso di errore prima di scegliere una CA alternativa).
Un'altra modifica che spicca è quella nel modulo mod_http2 è stato ripulito dal codice inutilizzato e non sicuro, mentre in mod_proxy viene ora fornita una riflessione della porta di rete backend nei messaggi di errore scritti nel log e che in mod_heartmonitor il valore del parametro HeartbeatMaxServers è stato modificato da 0 a 10 (inizializzazione di 10 slot di memoria condivisi).
D'altra parte, possiamo trovarlo aggiunto il supporto per lo stato "auto" durante la visualizzazione dei valori nel formato "chiave: valore", inoltre è stata fornita la possibilità di gestire i certificati per gli utenti Tailscale Secure VPN.
In mod_ssl, la modalità SSLFIPS è ora realizzata per supportare OpenSSL 3.0 e l'utilità ab implementa anche il supporto per TLSv1.3 (richiede il collegamento a una libreria SSL che supporti questo protocollo).
Per la parte delle correzioni di bug apportate in questa nuova versione:
- CVE-2022-31813: una vulnerabilità in mod_proxy che consente di bloccare l'invio di intestazioni X-Forwarded-* con informazioni sull'indirizzo IP da cui proveniva la richiesta originale. Il problema può essere utilizzato per aggirare le restrizioni di accesso basate sugli indirizzi IP.
- CVE-2022-30556: una vulnerabilità in mod_lua che consente l'accesso ai dati al di fuori del buffer allocato tramite manipolazioni con la funzione r:wsread() negli script Lua che puntano oltre la fine della memoria del buffer allocato. Questo bug può essere sfruttato in Apache HTTP Server 2.4.53 e versioni precedenti.
- CVE-2022-30522: Denial of Service (memoria disponibile insufficiente) durante l'elaborazione di determinati dati da parte di mod_sed. Se Apache HTTP Server 2.4.53 è configurato per eseguire trasformazioni con mod_sed in contesti in cui l'input per mod_sed potrebbe essere molto
large, mod_sed può effettuare allocazioni di memoria eccessivamente grandi e attivare un'interruzione. - CVE-2022-29404: Il denial of service mod_lua viene sfruttato inviando richieste appositamente predisposte ai gestori Lua utilizzando la chiamata r:parsebody(0).
- CVE-2022-28615, CVE-2022-28614: Negazione del servizio o accesso ai dati nella memoria di processo a causa di errori nelle funzioni ap_strcmp_match() e ap_rwrite(), con conseguente lettura di una regione fuori dal limite del buffer.
- CVE-2022-28330: Perdita di informazioni oltre i limiti in mod_isapi (il problema compare solo su piattaforma Windows).
- CVE-2022-26377: Il modulo mod_proxy_ajp è vulnerabile agli attacchi di classe "HTTP Request Smuggling" sui sistemi front-end-backend, consentendo l'elaborazione del contenuto delle richieste di altri utenti sullo stesso thread tra il front-end e il back-end.
Vale la pena ricordare che questa versione richiede Apache Portable Runtime (APR), versione minima 1.5.xe APR-Util, versione minima 1.5.x. Alcune funzionalità potrebbero richiedere la versione 1.6.x di APR e APR-Util. Le librerie APR devono essere aggiornate affinché tutte le funzioni di httpd funzionino correttamente.
Infine se sei interessato a saperne di più su questa nuova versione del server HTTP Apache, puoi controllare i dettagli nel seguente link