何日か前に のリリース サーバーの新しい修正バージョン Apache HTTP 2.4.53、14の変更を導入し、4つの脆弱性を修正します。 この新しいバージョンの発表では、次のように述べられています ブランチの最後のリリースです Apache HTTPDの2.4.xリリースであり、プロジェクトによるXNUMX年間の革新を表しており、以前のすべてのバージョンよりも推奨されています。
Apacheについて知らない人は、これが 人気のあるオープンソースHTTPWebサーバー、Unixプラットフォーム(BSD、GNU / Linuxなど)、Microsoft Windows、Macintoshなどで利用できます。
Apache 2.4.53の新機能は何ですか?
この新しいバージョンのApache2.4.53のリリースでは、セキュリティに関連しない最も注目すべき変更は次のとおりです。 文字数の制限が引き上げられたmod_proxyで コントローラーの名前に加えて、電源を入れる機能も追加されました バックエンドとフロントエンドのタイムアウトを選択的に構成する (たとえば、労働者に関連して)。 WebSocketまたはCONNECTメソッドを介して送信されたリクエストの場合、タイムアウトはバックエンドとフロントエンドに設定された最大値に変更されました。
この新しいバージョンで際立っているもうXNUMXつの変更点は、 DBMファイルを開くこととDBMドライバーをロードすることの別々の処理。 クラッシュが発生した場合、ログにエラーとドライバーに関するより詳細な情報が表示されるようになりました。
En mod_mdは、/。well-known /acme-challenge/へのリクエストの処理を停止しました ドメイン構成で「http-01」チャレンジタイプの使用が明示的に有効になっていない限り、mod_davでリグレッションが修正され、多数のリソースを処理するときにメモリ消費量が多くなりました。
一方、 pcre2ライブラリを使用する機能 (10.x) 正規表現を処理するためのpcre(8.x)の代わりに、LDAP構成置換攻撃を実行しようとしたときにデータを正しくフィルタリングするためのクエリフィルターにLDAP異常解析サポートを追加し、mpm_eventが再起動またはMaxConnectionsPerChild制限を超えたときに発生するデッドロックを修正しました高負荷のシステム。
脆弱性のうち この新しいバージョンで解決されたものは、次のとおりです。
- CVE-2022-22720: これにより、「HTTPリクエストの密輸」攻撃を実行できる可能性があります。これにより、特別に細工されたクライアントリクエストを送信することで、mod_proxyを介して送信された他のユーザーのリクエストのコンテンツをハッキングできます(たとえば、サイトの別のユーザーのセッションにある悪意のあるJavaScriptコード)。 この問題は、無効なリクエスト本文の処理中にエラーが発生した後、着信接続が開いたままになっていることが原因で発生します。
- CVE-2022-23943: これは、mod_sedモジュールのバッファオーバーフローの脆弱性であり、ヒープメモリが攻撃者が制御するデータで上書きされる可能性があります。
- CVE-2022-22721: この脆弱性により、350 MBを超えるリクエスト本文を渡すときに発生する整数のオーバーフローが原因で、範囲外のバッファに書き込むことができました。 この問題は、LimitXMLRequestBody値が高すぎるように構成されている32ビットシステムで発生します(デフォルトでは1 MB、攻撃の場合、制限は350 MBを超える必要があります)。
- CVE-2022-22719: これはmod_luaの脆弱性であり、ランダムなメモリ領域を読み取り、特別に細工されたリクエスト本文が処理されるときにプロセスをブロックすることができます。 この問題は、r:parsebody関数のコードで初期化されていない値が使用されていることが原因で発生します。
最後に あなたがそれについてもっと知りたいなら この新しいリリースについては、詳細を確認できます。 次のリンク。
放電
新しいバージョンを入手するには、Apacheの公式Webサイトにアクセスしてください。ダウンロードセクションには、新しいバージョンへのリンクがあります。