Prieš kelias dienas išleidimas nauja korekcinė serverio versija Apache HTTP 2.4.53, kuriame įdiegta 14 pakeitimų ir pataisyta 4 pažeidžiamumas. Šios naujos versijos pranešime minima, kad tai paskutinis atšakos leidimas 2.4.x „Apache“ HTTPD leidimas ir atspindi penkiolikos metų projekto naujoves ir yra rekomenduojamas prieš visas ankstesnes versijas.
Tie, kurie nežino apie Apache, turėtų žinoti, kad tai yra populiarus atvirojo kodo HTTP žiniatinklio serveris, kuris yra prieinamas „Unix“ platformoms (BSD, GNU / Linux ir kt.), „Microsoft Windows“, „Macintosh“ ir kitoms.
Kas naujo „Apache 2.4.53“?
Išleidus šią naują Apache 2.4.53 versiją, svarbiausi su sauga nesusiję pakeitimai yra mod_proxy, kuriame buvo padidintas simbolių skaičiaus apribojimas valdiklio vardu, taip pat buvo pridėta galimybė įjungti maitinimą pasirinktinai konfigūruoti galinio ir sąsajos skirtąjį laiką (pavyzdžiui, darbuotojo atžvilgiu). Užklausoms, siunčiamoms naudojant žiniatinklio lizdus arba CONNECT metodą, skirtasis laikas buvo pakeistas į didžiausią užpakalinės ir sąsajos reikšmę.
Kitas iš naujojoje versijoje išsiskiriančių pakeitimų yra atskiras DBM failų atidarymo ir DBM tvarkyklės įkėlimo tvarkymas. Avarijos atveju žurnale dabar rodoma išsamesnė informacija apie klaidą ir tvarkyklę.
En mod_md nustojo apdoroti užklausas /.well-known/acme-challenge/ nebent domeno konfigūracija aiškiai leido naudoti „http-01“ iššūkio tipą, o mod_dav buvo ištaisyta regresija, dėl kurios apdorojant daug išteklių sunaudota daug atminties.
Kita vertus, taip pat pabrėžiama, kad galimybė naudotis pcre2 biblioteka (10.x) vietoj pcre (8.x), kad apdorotų reguliariąsias išraiškas, taip pat pridėtas LDAP anomalijų analizės palaikymas užklausų filtrams, kad būtų galima teisingai filtruoti duomenis, kai bandoma atlikti LDAP konstrukcijos pakeitimo atakas, ir kad mpm_event pašalino aklavietę, kuri atsiranda paleidžiant iš naujo arba viršijant MaxConnectionsPerChild limitą. labai apkrautos sistemos.
Dėl pažeidžiamumų kurios buvo išspręstos šioje naujoje versijoje, minima:
- CVE-2022-22720: tai leido atlikti „HTTP užklausų kontrabandos“ ataką, kuri leidžia, siunčiant specialiai sukurtas klientų užklausas, įsilaužti į kitų vartotojų užklausų turinį, perduodamą per mod_proxy (pavyzdžiui, ji gali pakeisti kenkėjišką „JavaScript“ kodą kito naudotojo svetainės sesijoje). Problema kyla dėl to, kad įeinantys ryšiai liko atviri, kai apdorojant netinkamą užklausos turinį įvyko klaidų.
- CVE-2022-23943: tai buvo modulio mod_sed buferio perpildymo pažeidžiamumas, leidžiantis perrašyti krūvos atmintį užpuoliko valdomais duomenimis.
- CVE-2022-22721: Šis pažeidžiamumas leido įrašyti į buferį už ribų dėl sveikojo skaičiaus perpildymo, kuris atsiranda perduodant didesnį nei 350 MB užklausos turinį. Problema pasireiškia 32 bitų sistemose, kuriose LimitXMLRequestBody reikšmė sukonfigūruota per didelė (pagal numatytuosius nustatymus 1 MB, atakai riba turi būti didesnė nei 350 MB).
- CVE-2022-22719: tai mod_lua pažeidžiamumas, leidžiantis nuskaityti atsitiktines atminties sritis ir blokuoti procesą, kai apdorojamas specialiai sukurtas užklausos turinys. Problemą sukelia nepainicijuotų reikšmių naudojimas funkcijos r:parsebody kode.
Pagaliau jei norite apie tai sužinoti daugiau apie šį naują leidimą, išsamią informaciją galite rasti šią nuorodą.
Eiti
Naują versiją galite gauti apsilankę oficialioje „Apache“ svetainėje ir jos atsisiuntimo skyriuje rasite nuorodą į naują versiją.