Apache Software Foundation и Apache HTTP Server Project недавно объявили о выпуске новой версии Apache HTTP Server 2.4.54, так как эта версия Apache является последней версией GA. из ветки Apache HTTPD следующего поколения 2.4.x и представляет пятнадцать лет инноваций проекта и рекомендуется по сравнению со всеми предыдущими версиями. Этот выпуск Apache представляет собой выпуск, посвященный безопасности, функциям и исправлениям ошибок.

Новая версия, котораяe представляет 19 изменений и исправляет 8 уязвимостей, из которых некоторые из них разрешали доступ к данным, также могли привести, среди прочего, к отказу в обслуживании.

Основные новые функции Apache HTTP Server 2.4.54

В этой новой версии, которая представлена ​​Apache HTTP Server 2.4.54 в mod_md директива MDCertificateAuthority допускает более одного имени CA и URL-адреса, Кроме того добавлены новые директивы: MDRetryDelay (определяет задержку перед отправкой повторного запроса) и MDRetryFailover (определяет количество повторных попыток в случае сбоя перед выбором альтернативного ЦС).

Еще одно заметное изменение заключается в том, что в модуле mod_http2 очищен от неиспользуемого и небезопасного кода, в то время как в mod_proxy в сообщениях об ошибках, записываемых в журнал, теперь предоставляется отражение внутреннего сетевого порта, а в mod_heartmonitor значение параметра HeartbeatMaxServers было изменено с 0 на 10 (инициализация 10 общих слотов памяти).

С другой стороны, мы можем обнаружить, что добавлена ​​поддержка статуса «авто» при отображении значений в формате «ключ: значение», плюс была предоставлена ​​возможность управлять сертификатами для пользователей Tailscale Secure VPN.

В mod_ssl режим SSLFIPS теперь сделан для поддержки OpenSSL 3.0, а утилита ab также реализует поддержку TLSv1.3 (требуется привязка к библиотеке SSL, поддерживающей этот протокол).

Для части исправлений ошибок, которые были сделаны в этой новой версии:

• CVE-2022-31813: Уязвимость в mod_proxy, позволяющая блокировать отправку заголовков X-Forwarded-* с информацией об IP-адресе, с которого пришел исходный запрос. Эту проблему можно использовать для обхода ограничений доступа на основе IP-адресов.
• CVE-2022-30556: Уязвимость в mod_lua, позволяющая получить доступ к данным за пределами выделенного буфера посредством манипуляций с функцией r:wsread() в Lua-скриптах, указывающих за конец выделенного буферного хранилища. Эту ошибку можно использовать в Apache HTTP Server 2.4.53 и более ранних версиях.
• CVE-2022-30522: отказ в обслуживании (недостаточно доступной памяти) при обработке определенных данных mod_sed. Если Apache HTTP Server 2.4.53 настроен на выполнение преобразований с mod_sed в контексте, где входные данные для mod_sed могут быть очень
  
  big, mod_sed может выделить слишком много памяти и вызвать прерывание.
• CVE-2022-29404: Отказ в обслуживании mod_lua эксплуатируется путем отправки специально созданных запросов обработчикам Lua с использованием вызова r:parsebody(0).
• CVE-2022-28615, CVE-2022-28614: Отказ в обслуживании или доступ к данным в памяти процесса из-за ошибок в функциях ap_strcmp_match() и ap_rwrite(), что приводит к считыванию области за границу буфера.
• CVE-2022-28330: Утечка информации за пределы mod_isapi (проблема возникает только на платформе Windows).
• CVE-2022-26377: модуль mod_proxy_ajp уязвим для атак класса «контрабанда HTTP-запросов» на интерфейсные и серверные системы, что позволяет обрабатывать содержимое запросов других пользователей в одном потоке между интерфейсом и сервером.

Стоит отметить, что для этой версии требуется Apache Portable Runtime (APR) минимальной версии 1.5.x и APR-Util минимальной версии 1.5.x. Для некоторых функций может потребоваться версия 1.6.x APR и APR-Util. Библиотеки APR должны быть обновлены для правильной работы всех функций httpd.

В конце концов если вам интересно узнать об этом больше об этой новой версии HTTP-сервера Apache, вы можете проверить подробности По следующей ссылке.