For nogle dage siden frigivelsen af den nye korrigerende version af serveren Apache HTTP 2.4.53, som introducerer 14 ændringer og retter 4 sårbarheder. I annonceringen af denne nye version nævnes det det er den sidste udgivelse af filialen 2.4.x-udgivelsen af Apache HTTPD og repræsenterer femten års innovation af projektet og anbefales i forhold til alle tidligere versioner.
For dem, der ikke kender til Apache, bør de vide, at dette er en populær open source HTTP-webserver, som er tilgængelig til Unix-platforme (BSD, GNU / Linux osv.), Microsoft Windows, Macintosh og andre.
Hvad er nyt i Apache 2.4.53?
I udgivelsen af denne nye version af Apache 2.4.53 er de mest bemærkelsesværdige ikke-sikkerhedsrelaterede ændringer i mod_proxy, hvor grænsen for antallet af tegn blev øget i controllerens navn, plus muligheden for strøm blev også tilføjet selektivt konfigurere timeouts for backend og frontend (f.eks. i forhold til en arbejder). For anmodninger sendt via websockets eller CONNECT-metoden er timeoutet ændret til den maksimale værdi, der er indstillet for backend og frontend.
En anden af de ændringer, der skiller sig ud i denne nye version, er separat håndtering af åbning af DBM-filer og indlæsning af DBM-driveren. I tilfælde af et nedbrud viser loggen nu mere detaljerede oplysninger om fejlen og driveren.
En mod_md stoppede med at behandle anmodninger til /.well-known/acme-challenge/ medmindre domænekonfigurationen eksplicit muliggjorde brugen af 'http-01'-udfordringstypen, mens der i mod_dav blev rettet en regression, der forårsagede højt hukommelsesforbrug ved behandling af et stort antal ressourcer.
På den anden side fremhæves det også, at mulighed for at bruge pcre2-biblioteket (10,x) i stedet for pcre (8.x) til at behandle regulære udtryk og tilføjede også LDAP-anomali-parsing-understøttelse til forespørgselsfiltre for at filtrere data korrekt, når man forsøgte at udføre LDAP-konstruktionssubstitutionsangreb, og at mpm_event fiksede en deadlock, der opstår ved genstart eller overskridelse af MaxConnectionsPerChild-grænsen på højt belastede systemer.
Af sårbarhederne der blev løst i denne nye version, er følgende nævnt:
- CVE-2022-22720: dette tillod muligheden for at være i stand til at udføre et "HTTP-anmodningssmugling"-angreb, som gør det muligt, ved at sende specielt udformede klientanmodninger, at hacke sig ind i indholdet af andre brugeres anmodninger transmitteret gennem mod_proxy (det kan f.eks. opnå substitution af ondsindet JavaScript-kode i en anden brugers session på webstedet). Problemet skyldes, at indgående forbindelser efterlades åbne efter at have stødt på fejl under behandling af en ugyldig anmodningstekst.
- CVE-2022-23943: dette var en bufferoverløbssårbarhed i mod_sed-modulet, der gør det muligt at overskrive heap-hukommelse med angriber-kontrollerede data.
- CVE-2022-22721: Denne sårbarhed tillod muligheden for at skrive til bufferen uden for grænserne på grund af et heltalsoverløb, der opstår, når der sendes en anmodningstekst, der er større end 350 MB. Problemet viser sig på 32-bit systemer, hvor LimitXMLRequestBody værdien er konfigureret for høj (som standard 1 MB, for et angreb skal grænsen være større end 350 MB).
- CVE-2022-22719: dette er en sårbarhed i mod_lua, der tillader læsning af tilfældige hukommelsesområder og blokering af processen, når en specielt udformet anmodningstekst behandles. Problemet er forårsaget af brugen af ikke-initialiserede værdier i koden til r:parsebody-funktionen.
Endelig hvis du vil vide mere om det om denne nye udgivelse kan du tjekke detaljerne i følgende link.
Aflad
Du kan få den nye version ved at gå til det officielle Apache-websted og i dens downloadafsnit finder du linket til den nye version.