קרן תוכנת Apache ו- Apache HTTP Server Project הכריזו לאחרונה על שחרור גרסה חדשה של Apache HTTP Server 2.4.54, בהיותה גרסה זו של Apache היא גרסת ה-GA העדכנית ביותר של ענף Apache HTTPD מהדור הבא 2.4.x ומייצג חמש עשרה שנים של חדשנות על ידי הפרויקט ומומלץ על פני כל הגרסאות הקודמות. מהדורה זו של Apache היא מהדורת אבטחה, תכונה ותיקוני באגים.
הגרסה החדשה שe presents מציג 19 שינויים ומתקן 8 פרצות, שחלקם אפשרו גישה לנתונים, עלול גם להוביל בין היתר למניעת שירות.
תכונות חדשות עיקריות של Apache HTTP Server 2.4.54
בגרסה החדשה הזו שמוצגת של Apache HTTP Server 2.4.54 ב-mod_md, הנחיית MDCertificateAuthority מאפשרת יותר משם CA אחד וכתובת URL, חוץ מזה הוסיפו הנחיות חדשות: MDRetryDelay (מגדיר את העיכוב לפני שליחת בקשה לניסיון חוזר) ו- MDRetryFailover (מגדיר את מספר הניסיונות החוזרים על כישלון לפני בחירת CA חלופי).
שינוי נוסף שבולט הוא זה במודול mod_http2 נוקה מקוד לא בשימוש ולא מאובטח, בעוד שב-mod_proxy מסופקת כעת השתקפות של יציאת הרשת האחורית בהודעות השגיאה שנכתבו ביומן וכי ב-mod_heartmonitor הערך של הפרמטר HeartbeatMaxServers שונה מ-0 ל-10 (אתחול של 10 חריצי זיכרון משותפים).
מצד שני, אנו יכולים למצוא זאת הוספה תמיכה בסטטוס "אוטומטי" בעת הצגת ערכים בפורמט "מפתח: ערך", בנוסף סופקה היכולת לנהל אישורים עבור משתמשי Tailscale Secure VPN.
ב-mod_ssl, מצב SSLFIPS עשוי כעת לתמוך ב-OpenSSL 3.0, וכלי השירות ab מיישם גם תמיכה ב-TLSv1.3 (דורש קישור לספריית SSL שתומכת בפרוטוקול זה).
לחלק של תיקוני הבאגים שנעשו בגרסה החדשה הזו:
- CVE-2022-31813: פגיעות ב-mod_proxy המאפשרת חסימת שליחת כותרות X-Forwarded-* עם מידע על כתובת ה-IP ממנה הגיעה הבקשה המקורית. ניתן להשתמש בבעיה כדי לעקוף הגבלות גישה על סמך כתובות IP.
- CVE-2022-30556: נקודת תורפה ב-mod_lua המאפשרת גישה לנתונים מחוץ למאגר המוקצה באמצעות מניפולציות עם הפונקציה r:wsread() בסקריפטים של Lua שמצביעים מעבר לסוף אחסון המאגר המוקצה. ניתן לנצל באג זה ב-Apache HTTP Server 2.4.53 וגרסאות קודמות.
- CVE-2022-30522: מניעת שירות (אין מספיק זיכרון זמין) בעת עיבוד נתונים מסוימים על ידי mod_sed. אם Apache HTTP Server 2.4.53 מוגדר לבצע טרנספורמציות עם mod_sed בהקשרים שבהם הקלט ל-mod_sed עשוי להיות מאוד
large, mod_sed יכול לבצע הקצאות זיכרון גדולות מדי ולעורר הפסקה. - CVE-2022-29404: מניעת השירות mod_lua מנוצלת על ידי שליחת בקשות בעלות מבנה מיוחד למטפלי Lua באמצעות הקריאה r:parsebody(0).
- CVE-2022-28615, CVE-2022-28614: מניעת שירות או גישה לנתונים בזיכרון התהליך עקב שגיאות בפונקציות ap_strcmp_match() ו-ap_rwrite(), וכתוצאה מכך אזור נקרא מחוץ לגבול המאגר.
- CVE-2022-28330: מידע דולף מחוץ לתחום ב-mod_isapi (הבעיה מופיעה רק בפלטפורמת Windows).
- CVE-2022-26377: מודול mod_proxy_ajp פגיע להתקפות מחלקות "HTTP Request Smuggling" על מערכות חזיתיות-backend, מה שמאפשר לעבד את התוכן של בקשות של משתמשים אחרים באותו שרשור בין הקצה הקדמי לקצה האחורי.
ראוי להזכיר שגרסה זו דורשת Apache Portable Runtime (APR), מינימום גרסה 1.5.x, ו-APR-Util, מינימום גרסה 1.5.x. תכונות מסוימות עשויות לדרוש גרסה 1.6.x של APR ו-APR-Util. יש לעדכן את ספריות ה-APR כדי שכל פונקציות httpd יפעלו כהלכה.
בסופו של דבר אם אתה מעוניין לדעת יותר על כך לגבי גרסה חדשה זו של שרת HTTP של Apache, אתה יכול לבדוק את הפרטים בקישור הבא.