A Apache Software Foundation e o Apache HTTP Server Project anunciaram recentemente o lançamento de uma nova versão do Apache HTTP Server 2.4.54, sendo esta versão do Apache a versão GA mais recente da ramificação Apache HTTPD de próxima geração 2.4.xe representa quinze anos de inovação do projeto e é recomendado em todas as versões anteriores. Esta versão do Apache é uma versão de segurança, recurso e correção de bugs.
A nova versão que estáe apresenta introduz 19 mudanças e corrige 8 vulnerabilidades, dos quais alguns deles permitiam acesso a dados, também poderia levar à negação de serviço, entre outras coisas.
Principais novos recursos do Apache HTTP Server 2.4.54
Nesta nova versão que se apresenta do Apache HTTP Server 2.4.54 em mod_md, a diretiva MDCertificateAuthority permite mais de um nome de CA e URL, além disso adicionadas novas diretivas: MDRetryDelay (define o atraso antes de enviar um pedido de nova tentativa) e MDRetryFailover (define o número de tentativas em caso de falha antes de escolher uma CA alternativa).
Outra mudança que se destaca é que no módulo mod_http2 foi limpo de código não utilizado e inseguro, enquanto no mod_proxy um reflexo da porta de rede backend agora é fornecido nas mensagens de erro gravadas no log e que no mod_heartmonitor o valor do parâmetro HeartbeatMaxServers foi alterado de 0 para 10 (inicialização de 10 slots de memória compartilhados).
Por outro lado, podemos descobrir que adicionado suporte para status “auto” ao exibir valores no formato “chave: valor”, além da capacidade de gerenciar certificados para usuários do Tailscale Secure VPN.
No mod_ssl, o modo SSLFIPS agora é feito para suportar OpenSSL 3.0, e o utilitário ab também implementa suporte para TLSv1.3 (requer ligação a uma biblioteca SSL que suporte este protocolo).
Para a parte das correções de bugs que foram feitas nesta nova versão:
- CVE-2022-31813: Uma vulnerabilidade no mod_proxy que permite bloquear o envio de cabeçalhos X-Forwarded-* com informações sobre o endereço IP de onde veio a solicitação original. O problema pode ser usado para contornar restrições de acesso com base em endereços IP.
- CVE-2022-30556: Uma vulnerabilidade no mod_lua que permite acesso a dados fora do buffer alocado por meio de manipulações com a função r:wsread() em scripts Lua que apontam para além do final do armazenamento do buffer alocado. Esse bug pode ser explorado no Apache HTTP Server 2.4.53 e em versões anteriores.
- CVE-2022-30522: negação de serviço (memória disponível insuficiente) ao processar determinados dados pelo mod_sed. Se o Apache HTTP Server 2.4.53 estiver configurado para realizar transformações com mod_sed em contextos onde a entrada para mod_sed pode ser muito
large, mod_sed pode fazer alocações de memória excessivamente grandes e acionar uma interrupção. - CVE-2022-29404: A negação de serviço mod_lua é explorada enviando solicitações especialmente criadas para os manipuladores Lua usando a chamada r:parsebody(0).
- CVE-2022-28615, CVE-2022-28614: Negação de serviço ou acesso a dados na memória do processo devido a erros nas funções ap_strcmp_match() e ap_rwrite(), resultando em uma região sendo lida fora do limite do buffer.
- CVE-2022-28330: Vazamento de informações fora dos limites no mod_isapi (o problema aparece apenas na plataforma Windows).
- CVE-2022-26377: O módulo mod_proxy_ajp é vulnerável a ataques de classe "HTTP Request Smuggling" em sistemas front-end-back-end, permitindo que o conteúdo das solicitações de outros usuários seja processado no mesmo thread entre o front-end e o back-end.
Vale ressaltar que esta versão requer Apache Portable Runtime (APR), versão mínima 1.5.xe APR-Util, versão mínima 1.5.x. Alguns recursos podem exigir a versão 1.6.x do APR e APR-Util. As bibliotecas APR devem ser atualizadas para que todas as funções httpd funcionem corretamente.
Finalmente se você estiver interessado em saber mais sobre isso sobre esta nova versão do servidor Apache HTTP, você pode verificar os detalhes no link a seguir.