Hace algunos dias se dio a conocer la liberación de la nueva versión correctiva del servidor HTTP Apache 2.4.53, la cual introduce 14 cambios y corrige 4 vulnerabilidades. En el anuncio de esta nueva versión se menciona que es el ultimo lanzamiento de la rama de nueva generación 2.4.x de Apache HTTPD y representa quince años de innovación por parte del proyecto, y es recomendada sobre todas las versiones anteriores.
Para quienes desconocen de Apache, deben saber que este es un popular servidor web HTTP de código abierto, el cual está disponible para las plataformas Unix (BSD, GNU/Linux, etc.), Microsoft Windows, Macintosh y otras.
¿Qué hay de nuevo en Apache 2.4.53?
En la liberacion de esta nueva version de Apache 2.4.53 los cambios no relacionados con la seguridad más notables son en mod_proxy, en el cual se aumentó el límite en la cantidad de caracteres en el nombre del controlador, ademas de que tambien se agregó la capacidad de poder configurar de forma selectiva los tiempos de espera para el backend y el frontend (por ejemplo, en relación con un trabajador). Para las solicitudes enviadas a través de websockets o el método CONNECT, el tiempo de espera se ha cambiado al valor máximo establecido para el backend y el frontend.
Otro de los cambios que se destaca de esta nueva version es el manejo separado de abrir archivos DBM y cargar el controlador DBM. En caso de un bloqueo, el registro ahora muestra información más detallada sobre el error y el controlador.
En mod_md se dejó de procesar las solicitudes a /.well-known/acme-challenge/ a menos que la configuración del dominio habilitara explícitamente el uso del tipo de desafío ‘http-01’, mientras que en mod_dav se corrigió una regresión que causaba un alto consumo de memoria al procesar una gran cantidad de recursos.
Por otra parte, tambien se destaca que se agregó la capacidad de usar la biblioteca pcre2 (10.x) en lugar de pcre (8.x) para procesar expresiones regulares y que tambien se agregó la compatibilidad con el análisis de anomalías de LDAP a los filtros de consulta para filtrar correctamente los datos al intentar realizar ataques de sustitución de construcciones de LDAP y que mpm_event solucionó un interbloqueo que ocurre al reiniciar o exceder el límite de MaxConnectionsPerChild en sistemas altamente cargados.
De las vulnerabilidades que fueron solucionadas en esta nueva version, se mencionan las siguientes:
- CVE-2022-22720: esta permitia la posibilidad de poderrealizar un ataque de «contrabando de solicitudes HTTP», que permite, mediante el envío de solicitudes de clientes especialmente diseñadas, introducirse en el contenido de las solicitudes de otros usuarios transmitidas a través de mod_proxy (por ejemplo, puede lograr la sustitución de código JavaScript malicioso en la sesión de otro usuario del sitio). El problema se debe a que se dejan abiertas las conexiones entrantes después de encontrar errores al procesar un cuerpo de solicitud no válido.
- CVE-2022-23943: esta era una vulnerabilidad de desbordamiento de búfer en el módulo mod_sed que permite sobrescribir la memoria del montón con datos controlados por el atacante.
- CVE-2022-22721: esta vulnerabilidad permitia la capacidad para escribir en el búfer fuera de los límites debido a un desbordamiento de enteros que se produce al pasar un cuerpo de solicitud de más de 350 MB. El problema se manifiesta en sistemas de 32 bits en cuya configuración el valor LimitXMLRequestBody es demasiado alto (por defecto 1 MB, para un ataque el límite debe ser superior a 350 MB).
- CVE-2022-22719: esta es una vulnerabilidad en mod_lua que permite leer áreas de memoria aleatorias y bloquear el proceso cuando se procesa un cuerpo de solicitud especialmente diseñado. El problema se debe al uso de valores no inicializados en el código de la función r:parsebody.
Finalmente si quieres conocer más al respecto sobre este nuevo lanzamiento, puedes consultar los detalles en el siguiente enlace.
Descarga
Puedes obtener la nueva versión dirigiéndote al sitio web oficial de Apache y en su sección de descargas encontraras el enlace a la nueva versión.
Fuente: ubunlog
