Prije nekoliko dana puštanje nova korektivna verzija servera Apache HTTP 2.4.53, koji uvodi 14 izmjena i popravlja 4 ranjivosti. U najavi ove nove verzije navedeno je da to je posljednje izdanje grane 2.4.x izdanje Apache HTTPD-a i predstavlja petnaest godina inovacije projekta, te se preporučuje u odnosu na sve prethodne verzije.
Za one koji ne znaju za Apache, trebali bi znati da je to popularan open source HTTP web server, koji je dostupan za Unix platforme (BSD, GNU / Linux, itd.), Microsoft Windows, Macintosh i druge.
Što je novo u Apacheu 2.4.53?
U izdanju ove nove verzije Apachea 2.4.53 najznačajnije promjene koje se ne odnose na sigurnost su u mod_proxy, u kojem je povećano ograničenje broja znakova u ime kontrolera, plus mogućnost napajanja je također dodana selektivno konfigurirati vremenska ograničenja za backend i frontend (na primjer, u odnosu na radnika). Za zahtjeve koji se šalju putem websocketa ili metode CONNECT, vrijeme čekanja je promijenjeno na maksimalnu vrijednost postavljenu za backend i frontend.
Još jedna od promjena koja se ističe u ovoj novoj verziji je odvojeno rukovanje otvaranjem DBM fajlova i učitavanjem DBM drajvera. U slučaju pada, dnevnik sada prikazuje detaljnije informacije o grešci i upravljačkom programu.
En mod_md je zaustavio obradu zahtjeva za /.well-known/acme-challenge/ osim ako konfiguracija domena nije eksplicitno omogućila upotrebu tipa izazova 'http-01', dok je u mod_davu popravljena regresija koja je uzrokovala veliku potrošnju memorije pri obradi velikog broja resursa.
S druge strane, takođe se ističe da je mogućnost korištenja pcre2 biblioteke (10.x) umjesto pcre (8.x) za obradu regularnih izraza, a također je dodana podrška za raščlanjivanje LDAP anomalija filterima upita za ispravno filtriranje podataka prilikom pokušaja izvođenja napada zamjene LDAP konstrukcije i taj mpm_event je popravio zastoj koji se javlja prilikom ponovnog pokretanja ili prekoračenja ograničenja MaxConnectionsPerChild na visoko opterećeni sistemi.
Od ranjivosti koji su riješeni u ovoj novoj verziji, spominju se sljedeće:
- CVE-2022-22720: ovo je omogućilo mogućnost da se izvrši napad "krijumčarenja HTTP zahtjeva", koji omogućava da se slanjem posebno kreiranih zahtjeva klijenata hakuje sadržaj zahtjeva drugih korisnika koji se prenose putem mod_proxy (na primjer, može postići zamjenu zlonamjerni JavaScript kod u sesiji drugog korisnika na web lokaciji). Problem je uzrokovan time što su dolazne veze ostavljene otvorene nakon što su naišle na greške u obradi nevažećeg tijela zahtjeva.
- CVE-2022-23943: ovo je bila ranjivost prekoračenja bafera u modulu mod_sed koja omogućava prepisivanje hrpe memorije podacima koje kontroliše napadač.
- CVE-2022-22721: Ova ranjivost je omogućila mogućnost pisanja u međuspremnik van granica zbog prelivanja cijelog broja koji se javlja prilikom prosljeđivanja tijela zahtjeva većeg od 350 MB. Problem se manifestuje na 32-bitnim sistemima u kojima je vrednost LimitXMLRequestBody konfigurisana previsoka (podrazumevano 1 MB, za napad ograničenje mora biti veće od 350 MB).
- CVE-2022-22719: ovo je ranjivost u mod_lua koja omogućava čitanje nasumičnih memorijskih područja i blokiranje procesa kada se obrađuje posebno kreirano tijelo zahtjeva. Problem je uzrokovan upotrebom neinicijaliziranih vrijednosti u kodu funkcije r:parsebody.
Konačno ako želite znati više o tome O ovom novom izdanju detalje možete provjeriti u sljedeći link.
Preuzimanje
Novu verziju možete dobiti odlaskom na službenu web stranicu Apachea, a u odjeljku za preuzimanje pronaći ćete vezu do nove verzije.