Преди няколко дни освобождаването на новата коригираща версия на сървъра Apache HTTP 2.4.53, който въвежда 14 промени и коригира 4 уязвимости. В анонса на тази нова версия се споменава, че това е последното издание на клона 2.4.x версия на Apache HTTPD и представлява петнадесет години иновации от проекта и се препоръчва за всички предишни версии.
За тези, които не знаят за Apache, те трябва да знаят, че това е така популярен HTTP уеб сървър с отворен код, който се предлага за платформи на Unix (BSD, GNU / Linux и др.), Microsoft Windows, Macintosh и други.
Какво е новото в Apache 2.4.53?
При пускането на тази нова версия на Apache 2.4.53 най-забележителните промени, които не са свързани със сигурността, са в mod_proxy, в който ограничението за броя на знаците е увеличено в името на контролера, плюс възможността за захранване също беше добавена селективно конфигурирайте изчакванията за бекенда и фронтенда (например по отношение на работник). За заявки, изпратени чрез websockets или метода CONNECT, времето за изчакване е променено на максималната стойност, зададена за бекенда и интерфейса.
Друга от промените, която се откроява в тази нова версия, е отделна обработка на отваряне на DBM файлове и зареждане на DBM драйвера. В случай на срив, дневникът вече показва по-подробна информация за грешката и драйвера.
En mod_md спря да обработва заявки към /.well-known/acme-challenge/ освен ако конфигурацията на домейна не е разрешила изрично използването на типа предизвикателство 'http-01', докато в mod_dav е фиксирана регресия, която причинява висока консумация на памет при обработка на голям брой ресурси.
От друга страна също така се подчертава, че възможност за използване на pcre2 библиотека (10.x) вместо pcre (8.x) за обработка на регулярни изрази и също така е добавена поддръжка за синтактичен анализ на LDAP аномалия към филтрите на заявки за правилно филтриране на данни при опит за извършване на атаки за заместване на LDAP конструкция и това mpm_event коригира блокиране, което възниква при рестартиране или превишаване на ограничението MaxConnectionsPerChild на високо натоварени системи.
От уязвимостите които бяха решени в тази нова версия, се споменават следните:
- CVE-2022-22720: това позволява възможността за извършване на атака за "контрабанда на HTTP заявки", която позволява чрез изпращане на специално изработени клиентски заявки да се хакне съдържанието на заявките на други потребители, предавани чрез mod_proxy (например, може да се постигне замяна на злонамерен JavaScript код в сесия на друг потребител на сайта). Проблемът е причинен от това, че входящите връзки са оставени отворени след среща на грешки при обработката на невалидно тяло на заявката.
- CVE-2022-23943: това беше уязвимост при препълване на буфера в модула mod_sed, която позволява да се презаписва паметта на heap с контролирани от атакуващи данни.
- CVE-2022-22721: Тази уязвимост позволява възможността за запис в буфера извън границите поради препълване на цяло число, което възниква при предаване на тяло на заявка, по-голямо от 350 MB. Проблемът се проявява в 32-битови системи, в които стойността на LimitXMLRequestBody е конфигурирана твърде висока (по подразбиране 1 MB, за атака ограничението трябва да е по-голямо от 350 MB).
- CVE-2022-22719: това е уязвимост в mod_lua, която позволява четене на произволни области от паметта и блокиране на процеса, когато се обработва специално създадено тяло на заявка. Проблемът е причинен от използването на неинициализирани стойности в кода на функцията r:parsebody.
Накрая ако искате да научите повече за това за тази нова версия можете да проверите подробностите в следната връзка.
Изпълнение
Можете да получите новата версия, като отидете на официалния уебсайт на Apache и в раздела за изтегляне ще намерите връзката към новата версия.