Apache HTTP Server 2.4.54 llega con 19 cambios y corrige 8 vulnerabilidades
Hace poco la Apache Software Foundation y Apache HTTP Server Project dieron a conocer el lanzamiento de una nueva versión de Apache HTTP Server 2.4.54, siendo esta versión de Apache es la última versión GA de la rama de nueva generación 2.4.x de Apache HTTPD y representa quince años de innovación por parte del proyecto y que se recomienda sobre todas las versiones anteriores. Esta versión de Apache es una versión de seguridad, características y corrección de errores.
La nueva versión que se presenta introduce 19 cambios y corrige 8 vulnerabilidades, de las cuales algunas de ellas permitían el acceso a datos, tambien podían conducir a denegación del servicio, entre otras cosas más.
Principales novedades de Apache HTTP Server 2.4.54
En esta nueva versión que se presenta de Apache HTTP Server 2.4.54 en mod_md, la directiva MDCertificateAuthority permite más de un nombre de CA y URL, ademas de que se agregaron nuevas directivas: MDRetryDelay (define la demora antes de enviar una solicitud de reintento) y MDRetryFailover (define la cantidad de reintentos en caso de falla antes de elegir una CA alternativa).
Otro de los cambios que se destaca es que en el módulo mod_http2 se ha limpiado de código no utilizado e inseguro, mientras que en mod_proxy ahora se proporciona un reflejo del puerto de red back-end en los mensajes de error escritos en el registro y que en mod_heartmonitor, el valor del parámetro HeartbeatMaxServers se ha cambiado de 0 a 10 (inicialización de 10 ranuras de memoria compartida).
Por otra parte, podremos encontrar que se agregó soporte para el estado «automático» al mostrar valores en el formato «clave: valor», ademas de que se proporcionó la capacidad de administrar certificados para usuarios de VPN seguros de Tailscale.
En mod_ssl, ahora se hace que el modo SSLFIPS sea compatible con OpenSSL 3.0 y además la utilidad ab implementa la compatibilidad con TLSv1.3 (requiere el enlace a una biblioteca SSL que admita este protocolo).
Por la parte de las correcciones de errores que se realizaron en esta nueva versión:
- CVE-2022-31813: Una vulnerabilidad en mod_proxy que permite bloquear el envío de encabezados X-Forwarded-* con información sobre la dirección IP de donde provino la solicitud original. El problema se puede utilizar para eludir las restricciones de acceso basadas en direcciones IP.
- CVE-2022-30556: una vulnerabilidad en mod_lua que permite el acceso a datos fuera del búfer asignado mediante manipulaciones con la función r:wsread() en los scripts de Lua que apuntan más allá del final del almacenamiento asignado para el búfer. Este fallo se puede explotar en Apache HTTP Server 2.4.53 y versiones anteriores.
- CVE-2022-30522: denegación de servicio (memoria disponible insuficiente) al procesar ciertos datos por mod_sed. Si Apache HTTP Server 2.4.53 está configurado para realizar transformaciones con mod_sed en contextos donde la entrada a mod_sed puede ser muy
grande, mod_sed puede hacer asignaciones de memoria excesivamente grandes y desencadenar un aborto. - CVE-2022-29404: se explota la denegación de servicio mod_lua mediante el envío de solicitudes especialmente diseñadas a los controladores de Lua mediante la llamada r:parsebody(0).
- CVE-2022-28615, CVE-2022-28614: denegación de servicio o acceso a datos en la memoria de proceso debido a errores en las funciones ap_strcmp_match() y ap_rwrite(), lo que da como resultado la lectura de una región fuera del límite del búfer.
- CVE-2022-28330: Fuga de información fuera de los límites en mod_isapi (el problema solo aparece en la plataforma Windows).
- CVE-2022-26377: el módulo mod_proxy_ajp es vulnerable a los ataques de clase «Contrabando de solicitudes HTTP» en los sistemas front-end-backend, lo que permite que el contenido de las solicitudes de otros usuarios se procese en el mismo hilo entre el front-end y el back-end.
Cabe mencionar que esta versión requiere Apache Portable Runtime (APR), versión mínima 1.5.x, y APR-Util, versión mínima 1.5.x. Algunas funciones pueden requerir la versión 1.6.x de APR y APR-Util. Las bibliotecas APR deben actualizarse para que todas las funciones de httpd funcionen correctamente.
Finalmente si estás interesado en poder conocer más al respecto sobre esta nueva versión de Apache HTTP server, puedes consultar los detalles en el siguiente enlace.