Mõni päev tagasi vabastamine serveri uus parandusversioon Apache HTTP 2.4.53, mis toob sisse 14 muudatust ja parandab 4 turvaauku. Selle uue versiooni teadaandes mainitakse seda see on haru viimane väljalase Apache HTTPD 2.4.x väljalase ja esindab projekti viieteistkümneaastast innovatsiooni ning on soovitatav kõigi varasemate versioonide ees.
Need, kes Apache'ist ei tea, peaksid teadma, et see on nii populaarne avatud lähtekoodiga HTTP veebiserver, mis on saadaval Unixi platvormidele (BSD, GNU / Linux jne), Microsoft Windowsile, Macintoshile ja teistele.
Mida uut on Apache 2.4.53-s?
Selle Apache 2.4.53 uue versiooni väljalaskes on kõige tähelepanuväärsemad turvalisusega mitteseotud muudatused mod_proxy's, milles suurendati märkide arvu piirangut kontrolleri nimel, lisaks lisandus ka toitevõimekus konfigureerida valikuliselt tausta- ja eesprogrammi ajalõppe (näiteks seoses töötajaga). Veebipistikupesade või CONNECT-meetodi kaudu saadetud päringute puhul on ajalõpp muudetud tausta- ja esiprogrammi jaoks määratud maksimaalsele väärtusele.
Veel üks muudatusi, mis selles uues versioonis silma paistab, on DBM-failide avamise ja DBM-i draiveri laadimise eraldi käsitlemine. Avarii korral näitab logi nüüd täpsemat teavet vea ja juhi kohta.
En mod_md lõpetas taotluste töötlemise aadressile /.well-known/acme-challenge/ välja arvatud juhul, kui domeeni konfiguratsioon lubas selgesõnaliselt väljakutse tüübi „http-01” kasutamist, samas kui mod_dav-s fikseeriti regressioon, mis põhjustas suure hulga ressursside töötlemisel suurt mälutarbimist.
Teisest küljest rõhutatakse ka seda, et võimalus kasutada pcre2 raamatukogu (10.x) pcre (8.x) asemel regulaaravaldiste töötlemiseks ja samuti lisati päringufiltritele LDAP anomaaliate sõelumise tugi, et andmeid õigesti filtreerida LDAP-konstruktsiooni asendusrünnete sooritamisel ning mpm_event parandas ummikseisu, mis ilmneb taaskäivitamisel või MaxConnectionsPerChild limiidi ületamisel. kõrgelt koormatud süsteemid.
Haavatavustest mis selles uues versioonis lahendati, mainitakse järgmist:
- CVE-2022-22720: see andis võimaluse sooritada "HTTP-päringute smuugeldamise" rünnak, mis võimaldab spetsiaalselt koostatud kliendipäringuid saates tungida sisse teiste kasutajate päringute sisu, mis edastatakse mod_proxy kaudu (näiteks võib see saavutada pahatahtlik JavaScripti kood saidi teise kasutaja seansil). Probleemi põhjuseks on sissetulevad ühendused, mis jäeti avatuks pärast vigade ilmnemist kehtetu päringu keha töötlemisel.
- CVE-2022-23943: see oli puhvri ületäitumise haavatavus moodulis mod_sed, mis võimaldab hunniku mälu ründaja juhitud andmetega üle kirjutada.
- CVE-2022-22721: See haavatavus võimaldas kirjutada puhvrisse väljaspool piire täisarvude ületäitumise tõttu, mis tekib 350 MB suurema päringu keha edastamisel. Probleem ilmneb 32-bitistes süsteemides, kus LimitXMLRequestBody väärtus on konfigureeritud liiga kõrgeks (vaikimisi 1 MB, rünnaku puhul peab limiit olema suurem kui 350 MB).
- CVE-2022-22719: see on mod_lua haavatavus, mis võimaldab lugeda juhuslikke mälualasid ja blokeerida protsessi, kui töödeldakse spetsiaalselt koostatud päringu keha. Probleemi põhjustab initsialiseerimata väärtuste kasutamine funktsiooni r:parsebody koodis.
Lõpuks kui soovite selle kohta rohkem teada saada selle uue versiooni kohta saate üksikasju vaadata lehelt järgmine link.
Rohu
Uue versiooni saate Apache ametlikul veebisaidil ja selle allalaadimise jaotisest leiate lingi uuele versioonile.