לפני כמה ימים שחרורו של הגרסה המתקנת החדשה של השרת Apache HTTP 2.4.53, שמציג 14 שינויים ומתקן 4 נקודות תורפה. בהכרזה על גרסה חדשה זו מוזכר כי זה המהדורה האחרונה של הסניף גרסה 2.4.x של Apache HTTPD ומייצגת חמש עשרה שנים של חדשנות על ידי הפרויקט, ומומלצת על פני כל הגרסאות הקודמות.
למי שלא יודע על אפאצ'י, הוא צריך לדעת שזהו שרת אינטרנט פופולרי HTTP בקוד פתוח, אשר זמין עבור פלטפורמות יוניקס (BSD, GNU / Linux וכו '), Microsoft Windows, Macintosh ואחרים.
מה חדש ב- Apache 2.4.53?
במהדורה של גרסה חדשה זו של Apache 2.4.53 השינויים הבולטים ביותר שאינם קשורים לאבטחה הם ב-mod_proxy, בו הוגדלה הגבלה על מספר התווים בשם הבקר, בנוסף נוספה גם יכולת הכוח הגדר באופן סלקטיבי פסקי זמן עבור backend ו-frontend (למשל ביחס לעובד). עבור בקשות שנשלחות דרך websockets או שיטת CONNECT, הזמן הקצוב השתנה לערך המקסימלי שנקבע עבור ה-backend וה-frontend.
אחד מהשינויים הבולטים בגרסה החדשה הזו הוא טיפול נפרד בפתיחת קבצי DBM וטעינת מנהל ההתקן של DBM. במקרה של קריסה, היומן מציג כעת מידע מפורט יותר על השגיאה ועל מנהל ההתקן.
En mod_md הפסיק לעבד בקשות אל /.well-known/acme-challenge/ אלא אם תצורת הדומיין אפשרה במפורש את השימוש בסוג האתגר 'http-01', בעוד שב-mod_dav תוקנה רגרסיה שגרמה לצריכת זיכרון גבוהה בעת עיבוד של מספר רב של משאבים.
מצד שני, מודגש גם כי היכולת להשתמש בספריית pcre2 (10.x) במקום pcre (8.x) לעיבוד ביטויים רגולריים וכן הוסיפו תמיכה בניתוח חריגות של LDAP למסנני שאילתות כדי לסנן נכון נתונים בעת ניסיון לבצע התקפות בנייה של LDAP וכי mpm_event תיקן מבוי סתום המתרחש בעת אתחול מחדש או חריגה ממגבלת MaxConnectionsPerChild ב מערכות עמוסות מאוד.
מהחולשות שנפתרו בגרסה החדשה הזו, מוזכרים הדברים הבאים:
- CVE-2022-22720: זה אפשר את האפשרות לבצע מתקפת "הברחת בקשות HTTP", המאפשרת, באמצעות שליחת בקשות לקוח בעלות מבנה מיוחד, לפרוץ לתוכן של בקשות של משתמשים אחרים המועברים דרך mod_proxy (לדוגמה, זה יכול להשיג החלפה של קוד JavaScript זדוני בהפעלה של משתמש אחר באתר). הבעיה נגרמת על ידי השארת חיבורים נכנסים פתוחים לאחר שנתקלו בשגיאות בעיבוד גוף בקשה לא חוקי.
- CVE-2022-23943: זו הייתה פגיעות של גלישת מאגר במודול mod_sed המאפשרת לדרוס זיכרון ערימה עם נתונים הנשלטים על ידי תוקף.
- CVE-2022-22721: פגיעות זו אפשרה את היכולת לכתוב למאגר מחוץ לתחום עקב הצפת מספרים שלמים המתרחשת בעת העברת גוף בקשה גדול מ-350 MB. הבעיה מתבטאת במערכות 32 סיביות שבהן ערך LimitXMLRequestBody מוגדר גבוה מדי (כברירת מחדל 1 MB, עבור התקפה המגבלה חייבת להיות גדולה מ-350 MB).
- CVE-2022-22719: זוהי פגיעות ב-mod_lua המאפשרת קריאת אזורי זיכרון אקראיים וחסימת התהליך כאשר גוף בקשה בעל מבנה מיוחד מעובד. הבעיה נגרמת על ידי שימוש בערכים לא מאותחלים בקוד של הפונקציה r:parsebody.
בסופו של דבר אם אתה רוצה לדעת יותר על זה לגבי המהדורה החדשה הזו, אתה יכול לבדוק את הפרטים ב הקישור הבא.
לפרוק
תוכלו להשיג את הגרסה החדשה על ידי כניסה לאתר הרשמי של אפאצ'י ובקטע ההורדות שלו תוכלו למצוא את הקישור לגרסה החדשה.