Prije nekoliko dana puštanje novu korektivnu verziju poslužitelja Apache HTTP 2.4.53, koji uvodi 14 promjena i popravlja 4 ranjivosti. U najavi ove nove verzije spominje se da to je posljednje izdanje grane 2.4.x izdanje Apache HTTPD-a i predstavlja petnaest godina inovacije projekta, te se preporučuje u odnosu na sve prethodne verzije.
Za one koji ne znaju za Apache, trebali bi znati da je to popularni open source HTTP web poslužitelj, koji je dostupan za Unix platforme (BSD, GNU / Linux, itd.), Microsoft Windows, Macintosh i druge.
Što je novo u Apacheu 2.4.53?
U izdanju ove nove verzije Apachea 2.4.53 najznačajnije promjene koje se ne odnose na sigurnost su u mod_proxy, u kojem je povećano ograničenje broja znakova u ime kontrolera, plus je također dodana mogućnost napajanja selektivno konfigurirati timeoute za backend i frontend (npr. u odnosu na radnika). Za zahtjeve poslane putem websocketa ili metode CONNECT, timeout je promijenjen na maksimalnu vrijednost postavljenu za pozadinu i frontend.
Još jedna od promjena koja se ističe u ovoj novoj verziji je odvojeno rukovanje otvaranjem DBM datoteka i učitavanjem DBM drajvera. U slučaju pada, zapisnik sada prikazuje detaljnije informacije o pogrešci i upravljačkom programu.
En mod_md je prestao obrađivati zahtjeve za /.well-known/acme-challenge/ osim ako konfiguracija domene nije eksplicitno omogućila korištenje tipa izazova 'http-01', dok je u mod_davu popravljena regresija koja je uzrokovala veliku potrošnju memorije pri obradi velikog broja resursa.
S druge strane, također se ističe da je mogućnost korištenja pcre2 biblioteke (10.x) umjesto pcre (8.x) za obradu regularnih izraza, a također je dodana podrška za raščlanjivanje LDAP anomalija filterima upita za ispravno filtriranje podataka prilikom pokušaja izvođenja napada zamjene LDAP konstrukcije i taj mpm_event je popravio zastoj do kojeg dolazi prilikom ponovnog pokretanja ili prekoračenja ograničenja MaxConnectionsPerChild na visoko opterećeni sustavi.
Od ranjivosti koji su riješeni u ovoj novoj verziji, spominju se sljedeće:
- CVE-2022-22720: to je omogućilo mogućnost izvođenja napada "krijumčarenja HTTP zahtjeva", koji omogućava, slanjem posebno izrađenih zahtjeva klijenta, hakirati sadržaj zahtjeva drugih korisnika koji se prenose putem mod_proxy (na primjer, može postići zamjenu zlonamjerni JavaScript kod u sesiji drugog korisnika web-mjesta). Problem je uzrokovan time što su dolazne veze ostavljene otvorene nakon što su naišle na pogreške u obradi nevažećeg tijela zahtjeva.
- CVE-2022-23943: ovo je bila ranjivost prekoračenja međuspremnika u modulu mod_sed koja omogućuje prepisivanje memorije hrpe s podacima koje kontrolira napadač.
- CVE-2022-22721: Ova ranjivost je omogućila mogućnost pisanja u međuspremnik izvan granica zbog prekoračenja cijelog broja koji se javlja prilikom prosljeđivanja tijela zahtjeva većeg od 350 MB. Problem se očituje na 32-bitnim sustavima u kojima je vrijednost LimitXMLRequestBody konfigurirana previsoka (prema zadanim postavkama 1 MB, za napad ograničenje mora biti veće od 350 MB).
- CVE-2022-22719: ovo je ranjivost u mod_lua koja omogućuje čitanje nasumičnih memorijskih područja i blokiranje procesa kada se obrađuje posebno izrađeno tijelo zahtjeva. Problem je uzrokovan upotrebom neinicijaliziranih vrijednosti u kodu funkcije r:parsebody.
Konačno ako želite znati više o tome o ovom novom izdanju, detalje možete provjeriti u sljedeći link.
Pražnjenje
Novu verziju možete dobiti odlaskom na službeno web mjesto Apachea, a u odjeljku za preuzimanje pronaći ćete vezu do nove verzije.