Beberapa hari yang lalu pelepasan versi pembetulan baharu pelayan Apache HTTP 2.4.53, yang memperkenalkan 14 perubahan dan membetulkan 4 kelemahan. Dalam pengumuman versi baru ini disebutkan bahawa ia adalah keluaran terakhir cawangan Keluaran 2.4.x Apache HTTPD dan mewakili lima belas tahun inovasi oleh projek itu, dan disyorkan ke atas semua versi sebelumnya.
Bagi mereka yang tidak tahu tentang Apache, mereka harus tahu bahawa ini adalah pelayan web HTTP sumber terbuka yang popular, yang tersedia untuk platform Unix (BSD, GNU / Linux, dll.), Microsoft Windows, Macintosh dan lain-lain.
Apa yang baru dalam Apache 2.4.53?
Dalam keluaran versi baharu Apache 2.4.53 ini, perubahan berkaitan bukan keselamatan yang paling ketara ialah dalam mod_proxy, di mana had bilangan aksara telah ditingkatkan atas nama pengawal, ditambah dengan keupayaan untuk kuasa juga ditambah konfigurasi tamat masa secara terpilih untuk hujung belakang dan hujung hadapan (contohnya, berhubung dengan pekerja). Untuk permintaan yang dihantar melalui soket web atau kaedah CONNECT, tamat masa telah ditukar kepada nilai maksimum yang ditetapkan untuk bahagian belakang dan bahagian hadapan.
Satu lagi perubahan yang menonjol dalam versi baru ini adalah pengendalian berasingan membuka fail DBM dan memuatkan pemacu DBM. Sekiranya berlaku kemalangan, log kini menunjukkan maklumat yang lebih terperinci tentang ralat dan pemandu.
En mod_md berhenti memproses permintaan ke /.well-known/acme-challenge/ melainkan konfigurasi domain secara eksplisit mendayakan penggunaan jenis cabaran 'http-01', manakala dalam mod_dav regresi telah ditetapkan yang menyebabkan penggunaan memori yang tinggi apabila memproses sejumlah besar sumber.
Sebaliknya, ia juga diketengahkan bahawa keupayaan untuk menggunakan perpustakaan pcre2 (10.x) bukannya pcre (8.x) untuk memproses ungkapan biasa dan juga menambah sokongan penghuraian anomali LDAP kepada penapis pertanyaan untuk menapis data dengan betul apabila cuba melakukan serangan penggantian binaan LDAP dan mpm_event itu membetulkan kebuntuan yang berlaku apabila but semula atau melebihi had MaxConnectionsPerChild pada sistem yang sangat dimuatkan.
Daripada kelemahan yang telah diselesaikan dalam versi baharu ini, perkara berikut disebut:
- CVE-2022-22720: ini membenarkan kemungkinan untuk dapat melakukan serangan "penyeludupan permintaan HTTP", yang membolehkan, dengan menghantar permintaan pelanggan yang direka khas, untuk menggodam kandungan permintaan pengguna lain yang dihantar melalui mod_proxy (contohnya, ia boleh mencapai penggantian kod JavaScript berniat jahat dalam sesi pengguna lain tapak). Isu ini disebabkan oleh sambungan masuk dibiarkan terbuka selepas menghadapi ralat memproses badan permintaan yang tidak sah.
- CVE-2022-23943: ini adalah kelemahan limpahan penimbal dalam modul mod_sed yang membenarkan memori timbunan ditimpa dengan data dikawal penyerang.
- CVE-2022-22721: Kerentanan ini membenarkan keupayaan untuk menulis kepada penimbal di luar sempadan disebabkan limpahan integer yang berlaku apabila menghantar badan permintaan yang lebih besar daripada 350 MB. Masalahnya nyata pada sistem 32-bit di mana nilai LimitXMLRequestBody dikonfigurasikan terlalu tinggi (secara lalai 1 MB, untuk serangan had mestilah lebih besar daripada 350 MB).
- CVE-2022-22719: ini adalah kelemahan dalam mod_lua yang membenarkan membaca kawasan memori rawak dan menyekat proses apabila badan permintaan yang dibuat khas diproses. Masalahnya disebabkan oleh penggunaan nilai yang tidak dimulakan dalam kod fungsi r:parsebody.
Akhirnya sekiranya anda ingin mengetahui lebih lanjut mengenainya Mengenai keluaran baru ini, anda boleh menyemak butirannya di pautan berikut.
Pelepasan
Anda boleh mendapatkan versi baru dengan pergi ke laman web Apache rasmi dan di bahagian muat turunnya anda akan menemui pautan ke versi baru.