Ça fait quelques jours La libération de la nouvelle version corrective du serveur HTTPApache 2.4.53, qui introduit 14 changements et corrige 4 vulnérabilités. Dans l'annonce de cette nouvelle version il est mentionné que c'est la dernière version de la branche La version 2.4.x d'Apache HTTPD et représente quinze ans d'innovation par le projet, et est recommandée sur toutes les versions précédentes.
Pour ceux qui ne connaissent pas Apache, ils doivent savoir qu'il s'agit un serveur Web HTTP open source populaire, qui est disponible pour les plates-formes Unix (BSD, GNU / Linux, etc.), Microsoft Windows, Macintosh et autres.
Quoi de neuf dans Apache 2.4.53?
Dans la sortie de cette nouvelle version d'Apache 2.4.53, les modifications non liées à la sécurité les plus notables sont dans mod_proxy, dans lequel la limite du nombre de caractères a été augmentée au nom du contrôleur, plus la capacité d'alimentation a également été ajoutée configurer de manière sélective les délais d'attente pour le backend et le frontend (par exemple, par rapport à un travailleur). Pour les requêtes envoyées via des websockets ou la méthode CONNECT, le délai d'attente a été remplacé par la valeur maximale définie pour le backend et le frontend.
Un autre des changements qui se démarque dans cette nouvelle version est le traitement séparé de l'ouverture des fichiers DBM et du chargement du pilote DBM. En cas de plantage, le journal affiche désormais des informations plus détaillées sur l'erreur et le pilote.
En mod_md a cessé de traiter les requêtes vers /.well-known/acme-challenge/ à moins que la configuration du domaine n'autorise explicitement l'utilisation du type de challenge 'http-01', alors que dans mod_dav une régression a été corrigée qui entraînait une consommation de mémoire élevée lors du traitement d'un grand nombre de ressources.
D'autre part, il est également souligné que le possibilité d'utiliser la bibliothèque pcre2 (10.x) au lieu de pcre (8.x) pour traiter les expressions régulières et a également ajouté la prise en charge de l'analyse des anomalies LDAP pour interroger les filtres afin de filtrer correctement les données lors de la tentative d'attaques de substitution de construction LDAP et que mpm_event a corrigé un blocage qui se produit lors du redémarrage ou du dépassement de la limite MaxConnectionsPerChild sur systèmes très chargés.
Des vulnérabilités qui ont été résolus dans cette nouvelle version, les éléments suivants sont mentionnés :
- CVE-2022-22720 : cela a permis la possibilité de pouvoir effectuer une attaque de "passage de requêtes HTTP", qui permet, en envoyant des requêtes client spécialement conçues, de pirater le contenu des requêtes d'autres utilisateurs transmises via mod_proxy (par exemple, il peut obtenir la substitution de code JavaScript malveillant dans la session d'un autre utilisateur du site). Le problème est dû au fait que les connexions entrantes restent ouvertes après avoir rencontré des erreurs lors du traitement d'un corps de requête non valide.
- CVE-2022-23943 : il s'agissait d'une vulnérabilité de dépassement de mémoire tampon dans le module mod_sed qui permet d'écraser la mémoire du tas avec des données contrôlées par l'attaquant.
- CVE-2022-22721 : Cette vulnérabilité permettait d'écrire dans la mémoire tampon hors limites en raison d'un débordement d'entier qui se produit lors de la transmission d'un corps de requête supérieur à 350 Mo. Le problème se manifeste sur les systèmes 32 bits dans lesquels la valeur LimitXMLRequestBody est configurée trop élevée (par défaut 1 Mo, pour une attaque la limite doit être supérieure à 350 Mo).
- CVE-2022-22719 : il s'agit d'une vulnérabilité dans mod_lua qui permet de lire des zones de mémoire aléatoires et de bloquer le processus lorsqu'un corps de requête spécialement conçu est traité. Le problème est causé par l'utilisation de valeurs non initialisées dans le code de la fonction r:parsebody.
Enfin si vous voulez en savoir plus à propos de cette nouvelle version, vous pouvez vérifier les détails dans le lien suivant.
Télécharger
Vous pouvez obtenir la nouvelle version en vous rendant sur le site officiel d'Apache et dans sa section de téléchargement, vous trouverez le lien vers la nouvelle version.