Apache Software Foundation và Apache HTTP Server Project gần đây đã thông báo về việc phát hành phiên bản mới của Apache HTTP Server 2.4.54, là phiên bản này của Apache là phiên bản GA mới nhất của nhánh 2.4.x Apache HTTPD thế hệ tiếp theo và đại diện cho mười lăm năm đổi mới của dự án và được đề xuất trên tất cả các phiên bản trước. Bản phát hành Apache này là một bản phát hành bảo mật, tính năng và sửa lỗi.
Phiên bản mới mà se trình bày giới thiệu 19 thay đổi và sửa 8 lỗ hổng, trong đó một số người trong số họ cho phép truy cập vào dữ liệu, cũng có thể dẫn đến từ chối dịch vụ, trong số những thứ khác.
Các tính năng mới chính của Apache HTTP Server 2.4.54
Trong phiên bản mới này được giới thiệu của Apache HTTP Server 2.4.54 trong mod_md, chỉ thị MDCertificateAuthority cho phép nhiều hơn một tên CA và URL, bên cạnh đó đã thêm chỉ thị mới: MDRetryDelay (xác định độ trễ trước khi gửi yêu cầu thử lại) và MDRetryFailover (xác định số lần thử lại khi không thành công trước khi chọn CA thay thế).
Một thay đổi khác nổi bật là trong mô-đun mod_http2 đã được làm sạch mã không an toàn và không sử dụng, trong khi ở mod_proxy, sự phản ánh của cổng mạng phụ trợ hiện được cung cấp trong thông báo lỗi được ghi vào nhật ký và trong mod_heartmonitor, giá trị của tham số HeartbeatMaxServers đã được thay đổi từ 0 thành 10 (khởi tạo 10 khe bộ nhớ được chia sẻ).
Mặt khác, chúng ta có thể thấy rằng hỗ trợ thêm cho trạng thái "tự động" khi hiển thị các giá trị ở định dạng "key: value", cộng với khả năng quản lý chứng chỉ cho người dùng Tailscale Secure VPN đã được cung cấp.
Trong mod_ssl, chế độ SSLFIPS hiện được tạo để hỗ trợ OpenSSL 3.0 và tiện ích ab cũng triển khai hỗ trợ cho TLSv1.3 (yêu cầu liên kết với thư viện SSL hỗ trợ giao thức này).
Đối với một phần của các bản sửa lỗi được thực hiện trong phiên bản mới này:
- CVE-2022-31813: Một lỗ hổng trong mod_proxy cho phép chặn việc gửi tiêu đề X-Forwarded- * với thông tin về địa chỉ IP nơi xuất phát yêu cầu ban đầu. Vấn đề có thể được sử dụng để vượt qua các hạn chế truy cập dựa trên địa chỉ IP.
- CVE-2022-30556: Một lỗ hổng trong mod_lua cho phép truy cập vào dữ liệu bên ngoài bộ đệm được cấp phát thông qua các thao tác với hàm r: wsread () trong các tập lệnh Lua trỏ qua phần cuối của bộ đệm được cấp phát. Lỗi này có thể được khai thác trong Apache HTTP Server 2.4.53 và các phiên bản trước đó.
- CVE-2022-30522: từ chối dịch vụ (không đủ bộ nhớ khả dụng) khi xử lý dữ liệu nhất định bằng mod_sed. Nếu Apache HTTP Server 2.4.53 được định cấu hình để thực hiện các chuyển đổi với mod_sed trong các ngữ cảnh mà đầu vào cho mod_sed có thể rất
lớn, mod_sed có thể thực hiện phân bổ bộ nhớ quá lớn và kích hoạt hủy bỏ. - CVE-2022-29404: Từ chối dịch vụ mod_lua được khai thác bằng cách gửi các yêu cầu được tạo đặc biệt tới trình xử lý Lua bằng cách sử dụng lệnh gọi r: parsebody (0).
- CVE-2022-28615, CVE-2022-28614: Từ chối dịch vụ hoặc truy cập dữ liệu trong bộ nhớ tiến trình do lỗi trong hàm ap_strcmp_match () và ap_rwrite (), dẫn đến một vùng được đọc ra ngoài ranh giới bộ đệm.
- CVE-2022-28330: Thông tin rò rỉ ngoài giới hạn trong mod_isapi (vấn đề chỉ xuất hiện trên nền tảng Windows).
- CVE-2022-26377: Mô-đun mod_proxy_ajp dễ bị tấn công lớp "HTTP Request Smuggling" trên hệ thống front-end-backend, cho phép xử lý nội dung yêu cầu của người dùng khác trên cùng một luồng giữa front-end và back end.
Điều đáng nói là phiên bản này yêu cầu Apache Portable Runtime (APR), phiên bản tối thiểu 1.5.x và APR-Util, phiên bản tối thiểu 1.5.x. Một số tính năng có thể yêu cầu phiên bản 1.6.x của APR và APR-Util. Các thư viện APR phải được cập nhật để tất cả các chức năng httpd hoạt động bình thường.
Cuối cùng nếu bạn muốn biết thêm về nó về phiên bản mới này của máy chủ Apache HTTP, bạn có thể kiểm tra chi tiết Trong liên kết sau đây.