Μερικές μέρες πριν η απελευθέρωση του τη νέα διορθωτική έκδοση του διακομιστή Apache HTTP 2.4.53, το οποίο εισάγει 14 αλλαγές και διορθώνει 4 τρωτά σημεία. Στην ανακοίνωση της νέας αυτής έκδοσης αναφέρεται ότι είναι η τελευταία κυκλοφορία του υποκαταστήματος Η έκδοση 2.4.x του Apache HTTPD και αντιπροσωπεύει δεκαπέντε χρόνια καινοτομίας από το έργο και συνιστάται σε όλες τις προηγούμενες εκδόσεις.
Για όσους δεν γνωρίζουν για το Apache, πρέπει να ξέρουν ότι αυτό είναι ένας δημοφιλής διακομιστής ιστού HTTP ανοιχτού κώδικα, το οποίο είναι διαθέσιμο για πλατφόρμες Unix (BSD, GNU / Linux κ.λπ.), Microsoft Windows, Macintosh και άλλα.
Τι νέο υπάρχει στο Apache 2.4.53;
Στην κυκλοφορία αυτής της νέας έκδοσης του Apache 2.4.53 οι πιο αξιοσημείωτες αλλαγές που δεν σχετίζονται με την ασφάλεια είναι στο mod_proxy, στο οποίο αυξήθηκε το όριο στον αριθμό των χαρακτήρων στο όνομα του ελεγκτή, καθώς και η δυνατότητα τροφοδοσίας διαμορφώστε επιλεκτικά τα χρονικά όρια για το backend και το frontend (για παράδειγμα, σε σχέση με έναν εργαζόμενο). Για αιτήματα που αποστέλλονται μέσω δικτυακών υποδοχών ή της μεθόδου CONNECT, το χρονικό όριο έχει αλλάξει στη μέγιστη τιμή που έχει οριστεί για το backend και το frontend.
Μια άλλη από τις αλλαγές που ξεχωρίζει σε αυτή τη νέα έκδοση είναι η ξεχωριστός χειρισμός ανοίγματος αρχείων DBM και φόρτωσης του προγράμματος οδήγησης DBM. Σε περίπτωση σύγκρουσης, το αρχείο καταγραφής εμφανίζει τώρα πιο λεπτομερείς πληροφορίες σχετικά με το σφάλμα και τον οδηγό.
En Το mod_md σταμάτησε να επεξεργάζεται αιτήματα στο /.well-known/acme-challenge/ εκτός εάν η διαμόρφωση του τομέα επέτρεπε ρητά τη χρήση του τύπου πρόκλησης «http-01», ενώ στο mod_dav διορθώθηκε μια παλινδρόμηση που προκάλεσε υψηλή κατανάλωση μνήμης κατά την επεξεργασία μεγάλου αριθμού πόρων.
Από την άλλη, τονίζεται επίσης ότι η δυνατότητα χρήσης της βιβλιοθήκης pcre2 (10,x) αντί για pcre (8.x) για την επεξεργασία κανονικών εκφράσεων και προστέθηκε επίσης υποστήριξη ανάλυσης ανωμαλιών LDAP στα φίλτρα ερωτημάτων για να φιλτράρετε σωστά τα δεδομένα κατά την προσπάθεια εκτέλεσης επιθέσεων αντικατάστασης κατασκευής LDAP και το mpm_event διόρθωσε ένα αδιέξοδο που εμφανίζεται κατά την επανεκκίνηση ή την υπέρβαση του ορίου MaxConnectionsPerChild στο συστήματα με μεγάλο φορτίο.
Από τα τρωτά σημεία που επιλύθηκαν σε αυτή τη νέα έκδοση, αναφέρονται τα εξής:
- CVE-2022-22720: Αυτό επέτρεψε τη δυνατότητα εκτέλεσης μιας επίθεσης "λαθρομεταφοράς αιτημάτων HTTP", η οποία επιτρέπει, με την αποστολή ειδικά διαμορφωμένων αιτημάτων πελατών, να παραβιάσει το περιεχόμενο των αιτημάτων άλλων χρηστών που μεταδίδονται μέσω mod_proxy (για παράδειγμα, μπορεί να επιτευχθεί η αντικατάσταση του κακόβουλος κώδικας JavaScript σε περίοδο λειτουργίας άλλου χρήστη του ιστότοπου). Το ζήτημα προκαλείται από τις εισερχόμενες συνδέσεις που παραμένουν ανοιχτές μετά την αντιμετώπιση σφαλμάτων κατά την επεξεργασία ενός μη έγκυρου σώματος αιτήματος.
- CVE-2022-23943: Αυτή ήταν μια ευπάθεια υπερχείλισης buffer στη μονάδα mod_sed που επιτρέπει την αντικατάσταση της μνήμης σωρού με δεδομένα ελεγχόμενα από τον εισβολέα.
- CVE-2022-22721: Αυτή η ευπάθεια επέτρεψε τη δυνατότητα εγγραφής στο buffer εκτός ορίων λόγω υπερχείλισης ακέραιου αριθμού που συμβαίνει κατά τη μετάδοση ενός σώματος αιτήματος μεγαλύτερου από 350 MB. Το πρόβλημα εκδηλώνεται σε συστήματα 32 bit στα οποία η τιμή LimitXMLRequestBody έχει ρυθμιστεί πολύ υψηλή (από προεπιλογή 1 MB, για μια επίθεση το όριο πρέπει να είναι μεγαλύτερο από 350 MB).
- CVE-2022-22719: Αυτή είναι μια ευπάθεια στο mod_lua που επιτρέπει την ανάγνωση τυχαίων περιοχών μνήμης και τον αποκλεισμό της διαδικασίας κατά την επεξεργασία ενός ειδικά διαμορφωμένου σώματος αιτήματος. Το πρόβλημα προκαλείται από τη χρήση μη αρχικοποιημένων τιμών στον κώδικα της συνάρτησης r:parsebody.
Τελικά αν θέλετε να μάθετε περισσότερα για αυτό σχετικά με αυτήν τη νέα έκδοση, μπορείτε να δείτε τις λεπτομέρειες στο τον ακόλουθο σύνδεσμο.
Εκπλήρωση
Μπορείτε να αποκτήσετε τη νέα έκδοση μεταβαίνοντας στον επίσημο ιστότοπο Apache και στην ενότητα λήψης θα βρείτε τον σύνδεσμο για τη νέα έκδοση.