며칠 전 출시 서버의 새로운 수정 버전 HTTP 아파치 2.4.53, 14가지 변경 사항을 도입하고 4가지 취약점을 수정합니다. 이 새 버전의 발표에서 다음과 같이 언급됩니다. 분기의 마지막 릴리스입니다. Apache HTTPD의 2.4.x 릴리스이며 프로젝트의 XNUMX년 혁신을 나타내며 모든 이전 버전보다 권장됩니다.
Apache에 대해 모르는 사람들은 이것이 인기 있는 오픈 소스 HTTP 웹 서버, Unix 플랫폼 (BSD, GNU / Linux 등), Microsoft Windows, Macintosh 등에서 사용할 수 있습니다.
Apache 2.4.53의 새로운 기능은 무엇입니까?
이 새 버전의 Apache 2.4.53 릴리스에서 가장 주목할만한 비보안 관련 변경 사항은 다음과 같습니다. mod_proxy에서 문자 수 제한이 증가했습니다. 컨트롤러의 이름으로 추가 전원 기능도 추가되었습니다. 백엔드 및 프론트엔드에 대한 시간 초과를 선택적으로 구성 (예를 들어, 작업자와 관련하여). websockets 또는 CONNECT 메소드를 통해 전송된 요청의 경우 시간 제한이 백엔드 및 프론트엔드에 대해 설정된 최대값으로 변경되었습니다.
이 새 버전에서 눈에 띄는 또 다른 변경 사항은 DBM 파일 열기 및 DBM 드라이버 로드를 별도로 처리합니다. 충돌이 발생하면 이제 로그에 오류 및 드라이버에 대한 자세한 정보가 표시됩니다.
En mod_md가 /.well-known/acme-challenge/에 대한 요청 처리를 중지했습니다. 도메인 구성이 명시적으로 'http-01' 챌린지 유형의 사용을 활성화하지 않는 한 mod_dav에서는 많은 리소스를 처리할 때 높은 메모리 소비를 유발하는 회귀가 수정되었습니다.
한편으로 강조되기도 한다. pcre2 라이브러리를 사용하는 기능 (10.x) pcre(8.x) 대신 정규식을 처리하고 LDAP 구성 대체 공격을 수행하려고 할 때 데이터를 올바르게 필터링하기 위해 쿼리 필터에 LDAP 이상 구문 분석 지원을 추가했으며 mpm_event는 재부팅 또는 MaxConnectionsPerChild 제한을 초과할 때 발생하는 교착 상태를 수정했습니다. 고부하 시스템.
취약점 중 이 새 버전에서 해결된 문제는 다음과 같습니다.
- CVE-2022-22720 : 이것은 특수하게 조작된 클라이언트 요청을 보내 mod_proxy를 통해 전송된 다른 사용자의 요청 내용을 해킹할 수 있는 "HTTP 요청 밀수" 공격을 수행할 수 있는 가능성을 허용했습니다(예: 사이트의 다른 사용자 세션에 있는 악성 JavaScript 코드). 이 문제는 잘못된 요청 본문을 처리하는 동안 오류가 발생한 후 들어오는 연결이 열려 있기 때문에 발생합니다.
- CVE-2022-23943 : 이것은 공격자가 제어하는 데이터로 힙 메모리를 덮어쓸 수 있도록 하는 mod_sed 모듈의 버퍼 오버플로 취약점이었습니다.
- CVE-2022-22721 : 이 취약점으로 인해 350MB보다 큰 요청 본문을 전달할 때 발생하는 정수 오버플로로 인해 범위를 벗어나 버퍼에 쓸 수 있습니다. 문제는 LimitXMLRequestBody 값이 너무 높게 구성된 32비트 시스템에서 나타납니다(공격의 경우 제한은 1MB보다 커야 함).
- CVE-2022-22719 : 이것은 특수하게 조작된 요청 본문이 처리될 때 임의의 메모리 영역을 읽고 프로세스를 차단하는 mod_lua의 취약점입니다. 문제는 r:parsebody 함수의 코드에서 초기화되지 않은 값을 사용하기 때문에 발생합니다.
최종적으로 그것에 대해 더 알고 싶다면 이 새로운 릴리스에 대한 자세한 내용은 다음 링크.
방출
공식 Apache 웹 사이트로 이동하여 새 버전을 얻을 수 있으며 다운로드 섹션에서 새 버전에 대한 링크를 찾을 수 있습니다.