The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Релиз http-сервера Apache 2.4.53 с устранением опасных уязвимостей

15.03.2022 10:04

Опубликован релиз HTTP-сервера Apache 2.4.53, в котором представлено 14 изменений и устранено 4 уязвимости:

  • CVE-2022-22720 - возможность совершения атаки "HTTP Request Smuggling", позволяющей через отправку специально оформленных клиентских запросов вклиниваться в содержимое запросов других пользователей, передаваемых через mod_proxy (например, можно добиться подстановки вредоносного JavaScript-кода в сеанс другого пользователя сайта). Проблема вызвана оставлением открытыми входящих соединений после возникновения ошибок при обработке некорректного тела запроса.
  • CVE-2022-23943 - переполнение буфера в модуле mod_sed, позволяющее перезаписать содержимое памяти кучи данными, контролируемыми атакующим.
  • CVE-2022-22721 - возможность записи за границу буфера из-за целочисленного переполнения, возникающего при передаче тела запроса размером более 350МБ. Проблема проявляется на 32-разрядных системах в настройках которых выставлено слишком большое значение LimitXMLRequestBody (по умолчанию 1 МБ, для атаки лимит должен быть выше 350 МБ).
  • CVE-2022-22719 - уязвимость в mod_lua, позволяющая добиться чтения случайных областей памяти и краха процесса при обработке специально оформленного тела запроса. Проблема вызвана использованием неинициализированных значений в коде функции r:parsebody.

Наиболее заметные изменения, не связанные с безопасностью:

  • В mod_proxy повышен лимит на число символов в имени обработчика (worker). Добавлена возможность выборочной настройки таймаутов для бэкенда и фронтэнда (например, в привязке к worker-у). Для запросов, передаваемых через websockets или метод CONNECT, время таймаута изменено на максимальное значение, выставленное для бэкенда и фронтэнда.
  • Разделена обработка открытия DBM-файлов и загрузки DBM-драйвера. В случае сбоя в логе теперь отображаются более детальные сведения об ошибке и драйвере.
  • В mod_md прекращена обработка запросов к /.well-known/acme-challenge/, если в настройках домена явно не включено использование типа проверки 'http-01'.
  • В mod_dav устранено регрессивное изменение, приводящее к большому потреблению памяти при обработке большого числа ресурсов.
  • Добавлена возможность использования библиотеки pcre2 (10.x) вместо pcre (8.x) для обработки регулярных выражений.
  • В фильтры запросов добавлена поддержка анализа аномалий для протокола LDAP для корректного экранирования данных при попытке совершения атак по подстановке LDAP-конструкций.
  • В mpm_event устранена взаимная блокировка, возникающая при перезапуске или превышении лимита MaxConnectionsPerChild на высоконагруженных системах.


  1. Главная ссылка к новости (https://www.mail-archive.com/a...)
  2. OpenNews: Новая атака на системы фронтэнд-бэкенд, позволяющая вклиниться в запросы
  3. OpenNews: Атака на системы фронтэнд-бэкенд, позволяющая вклиниться в сторонние запросы
  4. OpenNews: Релиз http-сервера Apache 2.4.52 с устранением переполнения буфера в mod_lua
  5. OpenNews: Новая техника HTTP атак
  6. OpenNews: Релиз http-сервера Apache 2.4.49 с устранением уязвимостей
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/56854-apache
Ключевые слова: apache, httpd
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (14) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.2, DEF (?), 10:19, 15/03/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –6 +/
    Почти все российские хостинг-провайдеры до сих пор сидят на версии httpd 2.4.6.
     
     
  • 2.3, noname2022 (?), 10:25, 15/03/2022 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Эта версия из репы centos (именно его любят хостеры), поэтому циферьки в номере версии не меняются, но патчи бэкпортируются и применяются мейнтейнерами
     
     
  • 3.5, . (?), 11:49, 15/03/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Это не говоря уже о том что редкий хостер настолько слабоумен и отважен, чтобы повключать все подряд модули (mod_sed, надо же ж, и такое понакодили) или позволить юзверькам заголовки запросов по 350 мегабайт.

     

  • 1.4, Аноним (4), 11:47, 15/03/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > записи за границу буфера из-за целочисленного переполнения ... на 32-разрядных системах ... размером более 350МБ

    Просто нет слов, как можно было так накуролесить?!

     
     
  • 2.13, Аноним (13), 18:46, 15/03/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Просто у них раста небыло

    ===САРКАЗМ===

     

  • 1.6, Всем Анонимам Аноним (?), 13:02, 15/03/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Во FreeBSD уже никого не осталось чтобы security фиксы делать. В портах версия .52 так и висит. Долго держалась FreeBSD, но, похоже, начинается резкое падение в последнее время.
     
     
  • 2.7, Аноним (7), 15:03, 15/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Так а что они хотели, когда COC принимали несколько лет назад? Люди бегут из умирающего проэкта, что вполне оправдано.
     
     
  • 3.10, Аноним (-), 16:09, 15/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Так а что они хотели, когда COC принимали несколько лет назад? Люди
    > бегут из умирающего проэкта, что вполне оправдано.

    https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/tree/Docume
    > 2018-09-16 Code of Conduct: Let's revamp it.  Greg Kroah-Hartman 1 -0/+81

    И куда ты убежал, на венду или на макось?


     
     
  • 4.11, пох. (?), 18:11, 15/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Что значит "он убежал"? Он никуда не убегал, сидит себе ровно, мы все знаем, с чего сподручнее объявлять год линукса на десктопах.

     
  • 2.8, три строки (?), 15:06, 15/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Превед, братец тролина!
     
  • 2.9, Аноним (-), 16:03, 15/03/2022 [^] [^^] [^^^] [ответить]  
  • +/

    > В Linux уже никого не осталось чтобы security фиксы делать. В репах версия .52 так и висит. Долго держался Linux, но, похоже, начинается резкое падение в последнее время.

    https://repology.org/project/apache/versions

     
  • 2.12, Анонимм (??), 18:16, 15/03/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Во FreeBSD уже никого не осталось чтобы security фиксы делать. В портах
    > версия .52 так и висит. Долго держалась FreeBSD, но, похоже, начинается резкое падение в последнее время.

    https://www.freshports.org/www/apache24/
    > 15 Mar 2022 14:48:13   2.4.53
    > Bernard Spil (brnrd)
    > www/apache24: Security update to 2.4.53

    Да, целые сутки возились - сразу видно, что все, рип!

     

  • 1.14, Онаним (?), 21:13, 15/03/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    mod_lua - нет
    mod_sed - нет
    LimitXMLRequest - по умолчанию
    mod_proxy - ну, в варианте для fcgid под fpm есть в паре мест, но сверху haproxy - т.е. тоже практически без шансов

    Короче можно не дёргаться. Рутинное обновление.

     
     
  • 2.15, Онаним (?), 21:14, 15/03/2022 [^] [^^] [^^^] [ответить]  
  • +/
    PCRE2 - очень хорошо
    mod_dav - нет
    mpm_event - не налетал, но заткнуть не прочь
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2022 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру