Релиз http-сервера Apache 2.4.55 с устранением уязвимостей

20.01.2023 12:44

Опубликован релиз HTTP-сервера Apache 2.4.55, в котором представлено 18 изменений и устранено 3 уязвимости:

CVE-2022-37436: атака по разделению ответов HTTP в mod_proxy. Подконтрольный атакующему бэкенд может произвести усечение HTTP-заголовков ответа так, что следом идущие заголовки окажутся в теле ответа (например, таким образом можно отбросить связанные с обеспечением безопасности заголовки).
CVE-2022-36760: модуль mod_proxy_ajp подвержен атакам класса "HTTP Request Smuggling" на системы фронтэнд-бэкенд, позволяющим вклиниваться в содержимое запросов других пользователей, обрабатываемых в том же потоке между фронтэндом и бэкендом.
CVE-2006-20001: возможность записи одного нулевого байта в область вне границ буфера, проявляющаяся при обработке в mod_dav специально оформленного заголовка "If:".

Наиболее заметные изменения, не связанные с безопасностью:

mod_proxy_http2 переведён на общий с другими прокси-модулями механизм обработки типа содержимого ответов, приходящих от бэкендов.
В mod_proxy_hcheck учтено значение таймаута, выставленное для рабочих процессов.
В mod_http2 частично переписан код обработки соединений и потоков. Для отслеживания основного соединения и обработки ввода/вывода для запросов и ответов задействована функция pollset из APR (Apache Portable Runtime). Обеспечено удаление начальных и финальных пробелов и табуляций в значениях заголовков ответов и запросов.
В mod_proxy_hcheck в hcmethod разрешены запросы HTTP/1.1 с использованием методов GET11, HEAD11 и OPTIONS11. Обеспечена корректная проверка поддержки AJP/CPING.
В mod_authn_core добавлена поддержка выражений в AuthName и AuthType.
В mod_md добавлена директива MDStoreLocks, предназначенная для блокировки совместного хранилища для обеспечения корректной активации обновлённых сертификатов при одновременном перезапуске нескольких узлов кластера.
В mod_heartmonitor разрешено указание директивы "HeartbeatMaxServers 0" для использования файлового хранилища вместо slotmem.
В mod_dav добавлена опция DAVlockDiscovery для отключения определения блокировок WebDAV.

исправить +8 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/58503-apache

Ключевые слова: apache, httpd

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (17)

1.4, Аноним (4), 12:58, 20/01/2023 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
замечательно. только что там с индейским иском?

2.7, Аноним (7), 13:31, 20/01/2023 [^] [^^] [^^^] [ответить]	+10 +/–
Проблемы индейцев, шерифа не волнуют.

2.19, Аноним (19), 21:31, 20/01/2023 [^] [^^] [^^^] [ответить]	+/–
Слита их петиция.

1.8, DEF (?), 14:03, 20/01/2023 [ответить] [﹢﹢﹢] [ · · · ]	–5 +/–
Когда этот недосервер http/3 станет поддерживать?

2.9, Аноним (9), 14:10, 20/01/2023 [^] [^^] [^^^] [ответить]	+1 +/–
и что ты с ним будешь делать?

2.14, Омномним (?), 15:32, 20/01/2023 [^] [^^] [^^^] [ответить]	+2 +/–
Очень надеюсь, что никогда. Из интересного - QUIC стало побольше, и на него стали реагировать детекторы DDoS.

2.23, Ilya Indigo (ok), 16:23, 21/01/2023 [^] [^^] [^^^] [ответить]	+/–
Вы вообще в курсе, что http/3 БЕЗ http/1.1 или http/2 НЕ работает, и запросы сначала идут через младший протокол, который в заголовках сообщает клиенту, что он поддерживает http/3 и только потом клиент, если сочтёт нужным, подключается по http/3. И так повторяется при каждом новом запросе.

1.10, Аноним (10), 14:33, 20/01/2023 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
Единственный нормальный сервер. Везде его суём и активно используем. Все микросервисы работают через него. Статику тоже кешируем, используем как прокси и баллансер. Мякотка. Столько лет, и все ещё самый современный и актуальный HTTP сервер!

2.11, Аноним (10), 14:33, 20/01/2023 [^] [^^] [^^^] [ответить]	+2 +/–
Всю нашу нагрузку тоже держит. Ни разу не падал.

3.13, ОООноним (?), 14:44, 20/01/2023 [^] [^^] [^^^] [ответить]	+/–
Влажные фантазии однима локалхоста.

2.12, Аноним (12), 14:43, 20/01/2023 [^] [^^] [^^^] [ответить]	+1 +/–
Аналогично! Главное использовать php-fpm.

2.15, Омномним (?), 15:33, 20/01/2023 [^] [^^] [^^^] [ответить]	+1 +/–
Ну вот кстати да, слез со всего огорода на апач, проблем на самом деле поубавилось.

1.16, InuYasha (??), 18:45, 20/01/2023 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Который десяток лет уже он радует мир фичами .htaccess и шуткой "Apache is running" )

2.17, Аноним (-), 19:07, 20/01/2023 Скрыто ботом-модератором [к модератору]	+1 +/–

2.18, BrainFucker (ok), 20:25, 20/01/2023 [^] [^^] [^^^] [ответить]	+1 +/–
502 bad gateway nginx

3.20, suffix (ok), 22:32, 20/01/2023 [^] [^^] [^^^] [ответить]	+/–
Ни nginx ни apache по отдельности не раскрывают весь свой потенциал, а вот в связке друг с другом это лучший коктейль :) !

4.21, BrainFucker (ok), 22:39, 20/01/2023 [^] [^^] [^^^] [ответить]	+2 +/–
Сейчас ещё модно в этот коктейль docker добавлять: если на сервере не один сайт, то каждому сайту по апачу, каждый апач в своём докере, ибо нефиг, плюс докер с mysql и докер с nginx, который проксирует всё к тем апачам o_O Или в некоторых упоротых случайх кажому сайту по отдельному докеру с mysql (или postgres)

игнорирование участников | лог модерирования

Добавить комментарий

Текст: