Релиз http-сервера Apache 2.4.55 с устранением уязвимостей

Новости мира unix. Хотите узнать секрет вечного счастья? Откройте страницу 246.
Ответить
acolyte
Аватара пользователя
Сообщения: 3393
Зарегистрирован: 20.08.2022

#

Релиз http-сервера Apache 2.4.55 с устранением уязвимостей
Дата публикации:Fri, 20 Jan 2023 12:44:42 +0300




Опубликован релиз HTTP-сервера Apache 2.4.55, в котором представлено 18 изменений и устранено 3 уязвимости:
  • CVE-2022-37436: атака по разделению ответов HTTP в mod_proxy. Подконтрольный атакующему бэкенд может произвести усечение HTTP-заголовков ответа так, что следом идущие заголовки окажутся в теле ответа (например, таким образом можно отбросить связанные с обеспечением безопасности заголовки).

    CVE-2022-36760: модуль mod_proxy_ajp подвержен атакам класса "HTTP Request Smuggling" на системы фронтэнд-бэкенд, позволяющим вклиниваться в содержимое запросов других пользователей, обрабатываемых в том же потоке между фронтэндом и бэкендом.

    CVE-2006-20001: возможность записи одного нулевого байта в область вне границ буфера, проявляющаяся при обработке в mod_dav специально оформленного заголовка "If:".


Наиболее заметные изменения, не связанные с безопасностью:
  • mod_proxy_http2 переведён на общий с другими прокси-модулями механизм обработки типа содержимого ответов, приходящих от бэкендов.

    В mod_proxy_hcheck учтено значение таймаута, выставленное для рабочих процессов.

    В mod_http2 частично переписан код обработки соединений и потоков. Для отслеживания основного соединения и обработки ввода/вывода для запросов и ответов задействована функция pollset из APR (Apache Portable Runtime). Обеспечено удаление начальных и финальных пробелов и табуляций в значениях заголовков ответов и запросов.

    В mod_proxy_hcheck в hcmethod разрешены запросы HTTP/1.1 с использованием методов GET11, HEAD11 и OPTIONS11. Обеспечена корректная проверка поддержки
    AJP/CPING.

    В mod_authn_core добавлена поддержка выражений в AuthName и AuthType.


    В mod_md добавлена директива MDStoreLocks, предназначенная для блокировки совместного хранилища для обеспечения корректной активации обновлённых сертификатов при одновременном перезапуске нескольких узлов кластера.

    В mod_heartmonitor разрешено указание директивы "HeartbeatMaxServers 0" для использования файлового хранилища вместо slotmem.
    В mod_dav добавлена опция DAVlockDiscovery для отключения определения блокировок WebDAV.


Новость позаимствована с opennet.ru
Ссылка на оригинал: https://www.opennet.ru/opennews/art.shtml?num=58503

Жизнь за Нер'зула!

Ответить