В популярном HTTP-сервере Apache версии 2.4.54 устранено восемь уязвимостей
Версия 2.4.54 HTTP-сервера Apache с внесением 19 изменений и устранением восьми уязвимостей выпущена организацией Apache Software Foundation, 8 июня сообщается на сайте проекта.
В версии устранены ошибки с кодами CVE-2022-31813, CVE-2022-30556, CVE-2022-30522, CVE-2022-29404, CVE-2022-28615, CVE-2022-28614, CVE-2022-28330, CVE-2022-26377. Они имеют разный уровень опасности, но могут быть использованы для тех или иных атак злоумышленников.
Уязвимости CVE-2022-30522, CVE-2022-29404, CVE-2022-28615 и CVE-2022-28614 позволяют проводить атаки типа отказ в обслуживании (DoS). Механизм их работы различается, но эксплуатация любых из них может привести к временному сбою в обслуживании пользователей.
Уязвимость CVE-2022-31813 в модуле mod_proxy позволяет блокировать отправку HTTP-заголовков «X-Forwarded-*». Эти заголовки используются для определения первоначального адреса, с которого клиент делает запрос. Блокировка отправки заголовков приводит к неработоспособности сервисов геолокации.
Проблема CVE-2022-30556 в модуле mod_lua позволяет получить данные за пределами выделенной памяти с помощью специально подготовленного сценария на LUA. CVE-2022-28330 также позволяет организовать утечку информации с помощью чтения за границами буфера, но только на сервере, запущенном под операционной системой Windows.
Уязвимость CVE-2022-26377 в модуле modproxyajp позволяет вклиниться в данные запросов других пользователей (атака типа HTTP Request Smuggling), обрабатываемых в данный момент.