Joitakin päiviä sitten julkaisu palvelimen uusi korjaava versio Apache HTTP 2.4.53, joka sisältää 14 muutosta ja korjaa 4 haavoittuvuutta. Tämän uuden version tiedotteessa mainitaan, että se on haaran viimeinen julkaisu Apache HTTPD:n 2.4.x-julkaisu edustaa viidentoista vuoden innovaatiota projektissa, ja sitä suositellaan kaikkiin aikaisempiin versioihin verrattuna.
Niiden, jotka eivät tiedä Apachesta, heidän pitäisi tietää, että tämä on suosittu avoimen lähdekoodin HTTP-verkkopalvelin, joka on saatavana Unix-alustoille (BSD, GNU / Linux jne.), Microsoft Windowsille, Macintoshille ja muille.
Mitä uutta Apache 2.4.53: ssa?
Tämän uuden Apache 2.4.53 -version julkaisussa merkittävimmät ei-turvallisuuteen liittyvät muutokset ovat mod_proxyssa, jossa merkkien lukumäärän rajoitusta lisättiin ohjaimen nimeen, plus kyky tehoon lisättiin myös määrittää valikoivasti aikakatkaisuja tausta- ja käyttöliittymälle (esimerkiksi suhteessa työntekijään). Websockettien tai CONNECT-menetelmän kautta lähetettyjen pyyntöjen aikakatkaisu on muutettu tausta- ja käyttöliittymälle asetettuun enimmäisarvoon.
Toinen tässä uudessa versiossa erottuvista muutoksista on DBM-tiedostojen avaamisen ja DBM-ohjaimen lataamisen erillinen käsittely. Törmäyksen sattuessa lokissa näkyy nyt tarkempia tietoja virheestä ja kuljettajasta.
En mod_md lopetti pyyntöjen käsittelyn osoitteeseen /.well-known/acme-challenge/ ellei verkkotunnuksen kokoonpano nimenomaisesti salli 'http-01'-haastetyypin käyttöä, kun taas mod_dav-kohdassa korjattiin regressio, joka aiheutti suurta muistinkulutusta käsiteltäessä suurta määrää resursseja.
Toisaalta korostetaan myös, että kyky käyttää pcre2-kirjastoa (10.x) pcre (8.x) sijaan säännöllisten lausekkeiden käsittelyyn ja lisätty LDAP-poikkeamien jäsennystuki kyselysuodattimiin tietojen suodattamiseksi oikein, kun yritetään suorittaa LDAP-rakennekorvaushyökkäyksiä ja että mpm_event korjasi lukkiutumisen, joka ilmenee uudelleenkäynnistettäessä tai MaxConnectionsPerChild-rajan ylittäessä. erittäin kuormitetut järjestelmät.
Haavoittuvuuksista jotka on ratkaistu tässä uudessa versiossa, mainitaan seuraavat asiat:
- CVE-2022-22720: tämä mahdollisti mahdollisuuden suorittaa "HTTP-pyyntöjen salakuljetus" -hyökkäys, joka mahdollistaa erityisesti muotoiltuja asiakaspyyntöjä lähettämisen avulla murtautua muiden käyttäjien mod_proxyn kautta lähetettyjen pyyntöjen sisältöön (esimerkiksi se voi korvata haitallinen JavaScript-koodi sivuston toisen käyttäjän istunnossa). Ongelma johtuu siitä, että saapuvat yhteydet on jätetty auki virheellisen pyynnön tekstin käsittelyssä tapahtuneiden virheiden jälkeen.
- CVE-2022-23943: tämä oli puskurin ylivuotohaavoittuvuus mod_sed-moduulissa, joka mahdollistaa keon muistin korvaamisen hyökkääjän ohjaamilla tiedoilla.
- CVE-2022-22721: Tämä haavoittuvuus mahdollisti mahdollisuuden kirjoittaa puskuriin rajojen ulkopuolella kokonaislukujen ylivuodon vuoksi, joka ilmenee siirrettäessä yli 350 megatavua pyyntörunkoa. Ongelma ilmenee 32-bittisissä järjestelmissä, joissa LimitXMLRequestBody-arvo on määritetty liian korkeaksi (oletusarvoisesti 1 Mt, hyökkäyksen rajan on oltava yli 350 Mt).
- CVE-2022-22719: Tämä on mod_luan haavoittuvuus, joka mahdollistaa satunnaisten muistialueiden lukemisen ja prosessin eston, kun erityisesti muodostettu pyyntörunko käsitellään. Ongelma johtuu alustamattomien arvojen käytöstä r:parsebody-funktion koodissa.
Vihdoin jos haluat tietää enemmän siitä Tästä uudesta versiosta voit tarkistaa yksityiskohdat seuraava linkki.
Purkautua
Voit saada uuden version siirtymällä viralliselle Apache-verkkosivustolle ja sen latausosiosta löydät linkin uuteen versioon.