Néhány napja kiadása a szerver új javító verziója Apache HTTP 2.4.53, amely 14 változtatást vezet be és 4 biztonsági rést javít ki. Az új verzió bejelentésében ez szerepel ez az ág utolsó kiadása Az Apache HTTPD 2.4.x kiadása, amely a projekt tizenöt évnyi innovációját képviseli, és minden korábbi verzióval szemben ajánlott.
Azok számára, akik nem ismerik az Apache-t, tudniuk kell, hogy ez az népszerű nyílt forráskódú HTTP webszerver, amely Unix platformokhoz (BSD, GNU / Linux stb.), Microsoft Windows, Macintosh és mások számára elérhető.
Az Apache 2.4.53 újdonságai
Az Apache 2.4.53 új verziójának kiadásában a legjelentősebb, nem biztonsággal kapcsolatos változások a következők: a mod_proxyban, amelyben a karakterek számának korlátját növelték a vezérlő nevében, plusz a hatalomra való képesség is rákerült szelektíven konfigurálja az időtúllépéseket a háttér- és a frontend számára (például egy munkással kapcsolatban). A websocketeken vagy a CONNECT metóduson keresztül küldött kérések esetén az időtúllépés a háttérben és a frontendben beállított maximális értékre módosult.
Az új változatban kiemelkedő változások egyike a a DBM fájlok megnyitásának és a DBM illesztőprogram betöltésének külön kezelése. Összeomlás esetén a napló most részletesebb információkat mutat a hibáról és az illesztőprogramról.
En A mod_md leállította a /.well-known/acme-challenge/ felé irányuló kérések feldolgozását kivéve, ha a tartománykonfiguráció kifejezetten engedélyezte a „http-01” kihívástípus használatát, míg a mod_dav-ban egy regressziót rögzítettek, amely nagy memóriafelhasználást okozott nagyszámú erőforrás feldolgozása során.
Másrészt azt is kiemelik, hogy a pcre2 könyvtár használatának képessége (10.x) a pcre (8.x) helyett a reguláris kifejezések feldolgozásához, valamint hozzáadott egy LDAP anomália elemzési támogatást a lekérdezési szűrőkhöz, hogy megfelelően szűrjék az adatokat, amikor LDAP-konstrukció-helyettesítő támadásokat próbálnak végrehajtani, és ez az mpm_event kijavította a holtpontot, amely az újraindításkor vagy a MaxConnectionsPerChild korlát túllépésekor lép fel. nagy terhelésű rendszerek.
A sebezhetőségekről amelyeket ebben az új verzióban megoldottak, a következőket említjük:
- CVE-2022-22720: Ez lehetővé tette a „HTTP-kérés csempészéses” támadás végrehajtását, amely lehetővé teszi, hogy speciálisan kialakított klienskérések küldésével behatoljon más felhasználók mod_proxy-n keresztül továbbított kéréseinek tartalmába (például elérheti a rosszindulatú JavaScript-kód a webhely másik felhasználójának munkamenetében). A problémát az okozza, hogy a bejövő kapcsolatok nyitva maradtak, miután az érvénytelen kéréstörzs feldolgozása során hibákat észleltek.
- CVE-2022-23943: ez egy puffertúlcsordulási sérülékenység volt a mod_sed modulban, amely lehetővé teszi a kupacmemória felülírását a támadók által vezérelt adatokkal.
- CVE-2022-22721: Ez a sérülékenység lehetővé tette, hogy a 350 MB-nál nagyobb kéréstörzs átadásakor fellépő egész számok túlcsordulása miatt a pufferbe a határokon kívül írjanak. A probléma azokon a 32 bites rendszereken jelentkezik, amelyekben a LimitXMLRequestBody értéke túl magasra van konfigurálva (alapértelmezés szerint 1 MB, támadás esetén a korlátnak 350 MB-nál nagyobbnak kell lennie).
- CVE-2022-22719: ez a mod_lua biztonsági rése, amely lehetővé teszi a véletlenszerű memóriaterületek beolvasását, és blokkolja a folyamatot egy speciálisan kialakított kéréstörzs feldolgozása során. A problémát az okozza, hogy az r:parsebody függvény kódjában inicializálatlan értékeket használnak.
Végül ha többet szeretne tudni róla erről az új kiadásról itt ellenőrizheti a részleteket a következő link.
Mentesítés
Az új verziót az Apache hivatalos webhelyén találja meg, és letöltési szakaszában megtalálja az új verzióra mutató linket.