Hace poco la Apache Software Foundation et Apache HTTP Server Project ont décidé de lancer une nouvelle version de Apache HTTP Server 2.4.54, cette version d’Apache est la dernière version GA de la nouvelle génération 2.4.x d’Apache HTTPD et représente un quince años d’innovation pour une partie du projet et que se recommande sur toutes les versions antérieures. Cette version d’Apache est une version de sécurité, de caractéristiques et de correction d’erreurs.
La nouvelle version que se presenta presenta 19 cambios and corrige 8 vulnerabilidadesde las cuales algunas de ellas permitían el acceso a datos, tambien podían conducir a denegación del servicio, entre otras cosas más.
Principales nouveautés d’Apache HTTP Server 2.4.54
En esta nouvelle version que se présente Apache HTTP Server 2.4.54 en mod_md, la directiva MDCertificateAuthority permite más de un nombre de CA y URL, ademas de que S’agregaron nuevas directivas : MDRetryDelay (définir la demora antes de enviar una solicitud de reintento) y MDRetryFailover (définir la cantidad de reintentos en caso de falla antes de elegir una CA alternativa).
Otro de los cambios que se destaca es que en el módulo mod_http2 se ha limpiado de código no utilizado e inseguromientras que en mod_proxy ahora se proporciona un reflejo del puerto de red back-end en los mensajes de error escritos en el registro y que en mod_heartmonitor, el valor del parámetro HeartbeatMaxServers se ha cambiado de 0 a 10 (inicialización de 10 ranuras de memoria comparti).
Por otra parte, podremos encontrar que se agregó soporte para el estado «automático» al mostrar valores en el formato «clave: valor», ademas de que se proporcionó la capacidad de certificados administrar para usuarios de VPN seguros de Tailscale.
En mod_ssl, nous avons maintenant le mode SSLFIPS compatible avec OpenSSL 3.0 et également l’utilisation et la mise en œuvre de la compatibilité avec TLSv1.3 (nécessite l’enlacement d’une bibliothèque SSL qui admet ce protocole).
Pour la partie de las corrections d’erreurs que se realizaron en esta nouvelle version :
- CVE-2022-31813: Una vulnerabilidad en mod_proxy qui permet de bloquer l’envío de encabezados X-Forwarded-* avec des informations sur la dirección IP de donde provino la solicitud original. Le problème peut être utilisé pour éluder les restrictions d’accès basadas en direcciones IP.
- CVE-2022-30556: une vulnérabilité dans le mod_lua qui permet d’accéder à la donnée de la source du tampon assignée à des manipulations médianes avec la fonction r:wsread() dans les scripts de Lua qu’il suffit d’utiliser pour le tampon final. Il est possible d’exploiter Apache HTTP Server 2.4.53 et les versions antérieures.
- CVE-2022-30522: denegación de servicio (memoria available insuficiente) al procesar ciertos datos por mod_sed. Si Apache HTTP Server 2.4.53 est configuré pour réaliser des transformations avec mod_sed en contextes donde la entrada a mod_sed puede ser muy
grande, mod_sed puede hacer asignaciones de memoria excesivamente grandes y desencadenar un aborto. - CVE-2022-29404: se exploite la denegación de service mod_lua mediante el envío de sollicitudes particulièrement diseñadas a los controladores de Lua mediante la llamada r:parsebody(0).
- CVE-2022-28615, CVE-2022-28614: déni de service ou accès à des données dans la mémoire de processus debido a errores en las funciones ap_strcmp_match() et ap_rwrite(), lo que da como resultado la lectura de una región fuera del límite del búfer.
- CVE-2022-28330 : Fuga de información fuera de los límites en mod_isapi (el problema solo aparece en la plataforma Windows).
- CVE-2022-26377: le module mod_proxy_ajp est vulnérable aux attaques de la classe « Contrebande de sollicitations HTTP » dans les systèmes front-end-backend, lo que permite que el contenido de las solicitudes de otros usuarios se procese in el mismo hilo between el front-end y el back-end.
Cette version nécessite Apache Portable Runtime (APR), version minimale 1.5.x, et APR-Util, version minimale 1.5.x. Certaines fonctions peuvent nécessiter la version 1.6.x de APR et APR-Util. Las bibliotecas APR deben actualizarse para que todas las funciones de httpd funcionen correctamente.
Enfin si estás interesado en poder conocer más al respecto sur cette nouvelle version du serveur HTTP Apache, vous pouvez consulter les détails dans le lien suivant.
