Pirms dažām dienām atbrīvošana jaunā servera koriģējošā versija Apache HTTP 2.4.53, kas ievieš 14 izmaiņas un novērš 4 ievainojamības. Paziņojumā par šo jauno versiju ir minēts, ka tas ir pēdējais filiāles izlaidums Apache HTTPD 2.4.x izlaidums, un tas ir piecpadsmit gadu jauninājumi projektā, un tas ir ieteicams salīdzinājumā ar visām iepriekšējām versijām.
Tiem, kas nezina par Apache, viņiem vajadzētu zināt, ka tas ir populārs atvērtā pirmkoda HTTP tīmekļa serveris, kas ir pieejams Unix platformām (BSD, GNU / Linux utt.), Microsoft Windows, Macintosh un citām.
Kas jauns Apache 2.4.53?
Šīs jaunās Apache 2.4.53 versijas izlaidumā visievērojamākās ar drošību nesaistītās izmaiņas ir mod_proxy, kurā tika palielināts rakstzīmju skaita ierobežojums kontroliera nosaukumā, plus tika pielikts arī pie varas selektīvi konfigurējiet aizmugursistēmas un priekšgala taimautus (piemēram, attiecībā uz strādnieku). Pieprasījumiem, kas nosūtīti, izmantojot tīmekļa ligzdas vai CONNECT metodi, taimauts ir mainīts uz maksimālo vērtību, kas iestatīta aizmugursistēmai un priekšgalam.
Vēl viena no izmaiņām, kas izceļas šajā jaunajā versijā, ir atsevišķa apstrāde ar DBM failu atvēršanu un DBM draivera ielādi. Avārijas gadījumā žurnālā tagad tiek parādīta detalizētāka informācija par kļūdu un draiveri.
En mod_md pārtrauca apstrādāt pieprasījumus uz /.well-known/acme-challenge/ ja vien domēna konfigurācija nepārprotami neļāva izmantot izaicinājuma veidu “http-01”, savukārt mod_dav tika fiksēta regresija, kas izraisīja lielu atmiņas patēriņu, apstrādājot lielu skaitu resursu.
No otras puses, tiek arī uzsvērts, ka spēja izmantot pcre2 bibliotēku (10.x) pcre (8.x) vietā, lai apstrādātu regulārās izteiksmes, kā arī pievienots LDAP anomāliju parsēšanas atbalsts vaicājumu filtriem, lai pareizi filtrētu datus, mēģinot veikt LDAP konstrukcijas aizstāšanas uzbrukumus, un šis mpm_event novērsa strupceļu, kas rodas, pārstartējot vai pārsniedzot MaxConnectionsPerChild ierobežojumu. ļoti noslogotas sistēmas.
Par ievainojamībām kas tika atrisināti šajā jaunajā versijā, ir minēts:
- CVE-2022-22720: tas ļāva veikt "HTTP pieprasījumu kontrabandas" uzbrukumu, kas ļauj, nosūtot īpaši izstrādātus klientu pieprasījumus, uzlauzt citu lietotāju pieprasījumu saturu, kas nosūtīts caur mod_proxy (piemēram, tas var panākt ļaunprātīgs JavaScript kods cita lietotāja vietnes sesijā). Problēma rodas tāpēc, ka ienākošie savienojumi ir atstāti atvērti pēc nederīga pieprasījuma pamatteksta apstrādē radušās kļūdas.
- CVE-2022-23943: šī bija mod_sed moduļa bufera pārpildes ievainojamība, kas ļauj pārrakstīt kaudzes atmiņu ar uzbrucēja kontrolētiem datiem.
- CVE-2022-22721: Šī ievainojamība ļāva rakstīt buferī ārpus robežām vesela skaitļa pārpildes dēļ, kas rodas, nododot pieprasījuma pamattekstu, kas lielāks par 350 MB. Problēma izpaužas 32 bitu sistēmās, kurās LimitXMLRequestBody vērtība ir konfigurēta pārāk augsta (pēc noklusējuma 1 MB, uzbrukuma ierobežojumam ir jābūt lielākam par 350 MB).
- CVE-2022-22719: šī ir mod_lua ievainojamība, kas ļauj nolasīt nejaušas atmiņas apgabalus un bloķēt procesu, kad tiek apstrādāts īpaši izveidots pieprasījuma pamatteksts. Problēmu izraisa neinicializētu vērtību izmantošana funkcijas r:parsebody kodā.
Beidzot ja vēlaties uzzināt vairāk par to Par šo jauno laidienu sīkāku informāciju varat skatīt vietnē šo saiti.
Izlādēt
Jauno versiju varat iegūt, dodoties uz oficiālo Apache vietni, un tās lejupielādes sadaļā atradīsit saiti uz jauno versiju.