Vor ein paar Tagen die Freisetzung von die neue korrektive Version des Servers HTTP-Apache 2.4.53, das 14 Änderungen einführt und 4 Schwachstellen behebt. In der Ankündigung dieser neuen Version wird das erwähnt es ist die letzte Version des Zweigs 2.4.x-Release von Apache HTTPD und stellt fünfzehn Jahre Innovation des Projekts dar und wird allen früheren Versionen vorgezogen.
Für diejenigen, die Apache nicht kennen, sollten sie wissen, dass dies der Fall ist ein beliebter Open-Source-HTTP-Webserver, das für Unix-Plattformen (BSD, GNU / Linux usw.), Microsoft Windows, Macintosh und andere verfügbar ist.
Was ist neu in Apache 2.4.53?
In der Veröffentlichung dieser neuen Version von Apache 2.4.53 sind die bemerkenswertesten nicht sicherheitsbezogenen Änderungen in mod_proxy, in dem die Begrenzung der Zeichenanzahl erhöht wurde im Namen des Controllers, außerdem wurde die Fähigkeit zur Stromversorgung hinzugefügt Timeouts selektiv für Backend und Frontend konfigurieren (z. B. in Bezug auf einen Arbeitnehmer). Für Anfragen, die über Websockets oder die CONNECT-Methode gesendet werden, wurde das Timeout auf den für Backend und Frontend festgelegten Maximalwert geändert.
Eine weitere Änderung, die in dieser neuen Version auffällt, ist die getrennte Behandlung des Öffnens von DBM-Dateien und des Ladens des DBM-Treibers. Im Falle eines Absturzes zeigt das Protokoll jetzt detailliertere Informationen zum Fehler und zum Treiber.
En mod_md verarbeitet Anfragen an /.well-known/acme-challenge/ nicht mehr es sei denn, die Domänenkonfiguration ermöglichte explizit die Verwendung des Abfragetyps „http-01“, während in mod_dav eine Regression behoben wurde, die bei der Verarbeitung einer großen Anzahl von Ressourcen zu einem hohen Speicherverbrauch führte.
Andererseits wird auch hervorgehoben, dass die Möglichkeit, die pcre2-Bibliothek zu verwenden (10.x) anstelle von pcre (8.x), um reguläre Ausdrücke zu verarbeiten, und außerdem Unterstützung für die Analyse von LDAP-Anomalien zu Abfragefiltern hinzugefügt, um Daten beim Versuch, LDAP-Konstrukt-Substitutionsangriffe durchzuführen, korrekt zu filtern, und dass mpm_event einen Deadlock behoben hat, der beim Neustart oder Überschreiten des MaxConnectionsPerChild-Limits auftrat hochbelastete Systeme.
Von den Schwachstellen die in dieser neuen Version behoben wurden, werden die folgenden erwähnt:
- CVE-2022-22720: dies ermöglichte die Durchführung eines "HTTP-Request-Smuggling"-Angriffs, der es ermöglicht, durch das Senden speziell gestalteter Client-Requests in den Inhalt der über mod_proxy übertragenen Requests anderer Benutzer zu hacken (z schädlicher JavaScript-Code in der Sitzung eines anderen Benutzers der Website). Das Problem wird dadurch verursacht, dass eingehende Verbindungen offen bleiben, nachdem Fehler bei der Verarbeitung eines ungültigen Anforderungstexts aufgetreten sind.
- CVE-2022-23943: Hierbei handelte es sich um eine Pufferüberlauf-Schwachstelle im mod_sed-Modul, die es ermöglicht, Heap-Speicher mit angreifergesteuerten Daten zu überschreiben.
- CVE-2022-22721: Diese Schwachstelle ermöglichte das Schreiben in den Puffer außerhalb der Grenzen aufgrund eines Ganzzahlüberlaufs, der auftritt, wenn ein Anforderungstext größer als 350 MB übergeben wird. Das Problem tritt auf 32-Bit-Systemen auf, bei denen der LimitXMLRequestBody-Wert zu hoch konfiguriert ist (standardmäßig 1 MB, für einen Angriff muss das Limit größer als 350 MB sein).
- CVE-2022-22719: Dies ist eine Schwachstelle in mod_lua, die es ermöglicht, zufällige Speicherbereiche zu lesen und den Prozess zu blockieren, wenn ein speziell gestalteter Anforderungstext verarbeitet wird. Das Problem wird durch die Verwendung von nicht initialisierten Werten im Code der Funktion r:parsebody verursacht.
Schließlich wenn Sie mehr darüber wissen wollen Zu dieser neuen Version können Sie die Details einchecken den folgenden Link.
Entladen
Sie können die neue Version auf der offiziellen Apache-Website herunterladen. Im Download-Bereich finden Sie den Link zur neuen Version.