For noen dager siden utgivelsen av den nye korrigerende versjonen av serveren Apache HTTP 2.4.53, som introduserer 14 endringer og fikser 4 sårbarheter. I kunngjøringen av denne nye versjonen er det nevnt at det er den siste utgivelsen av filialen 2.4.x utgivelse av Apache HTTPD og representerer femten år med innovasjon av prosjektet, og anbefales over alle tidligere versjoner.
For de som ikke vet om Apache, bør de vite at dette er en populær åpen kildekode HTTP-nettserver, som er tilgjengelig for Unix-plattformer (BSD, GNU / Linux, etc.), Microsoft Windows, Macintosh og andre.
Hva er nytt i Apache 2.4.53?
I utgivelsen av denne nye versjonen av Apache 2.4.53 er de mest bemerkelsesverdige ikke-sikkerhetsrelaterte endringene i mod_proxy, der grensen for antall tegn ble økt i navnet til kontrolleren, pluss muligheten til strøm ble også lagt til selektivt konfigurere tidsavbrudd for backend og frontend (for eksempel i forhold til en arbeider). For forespørsler sendt via websockets eller CONNECT-metoden, er tidsavbruddet endret til maksimalverdien som er satt for backend og frontend.
En annen av endringene som skiller seg ut i denne nye versjonen er separat håndtering av åpning av DBM-filer og lasting av DBM-driver. Ved en eventuell krasj viser loggen nå mer detaljert informasjon om feilen og driveren.
En mod_md sluttet å behandle forespørsler til /.well-known/acme-challenge/ med mindre domenekonfigurasjonen eksplisitt muliggjorde bruken av utfordringstypen 'http-01', mens det i mod_dav ble fikset en regresjon som forårsaket høyt minneforbruk ved behandling av et stort antall ressurser.
På den annen side fremheves det også at muligheten til å bruke pcre2-biblioteket (10,x) i stedet for pcre (8.x) for å behandle regulære uttrykk og la også til støtte for LDAP-anomali-parsing til spørringsfiltre for å filtrere data korrekt når du forsøkte å utføre LDAP-konstruksjonssubstitusjonsangrep og at mpm_event fikset en dødlås som oppstår ved omstart eller overskridelse av MaxConnectionsPerChild-grensen på høyt belastede systemer.
Av sårbarhetene som ble løst i denne nye versjonen, er følgende nevnt:
- CVE-2022-22720: dette tillot muligheten for å kunne utføre et "HTTP request smugling"-angrep, som gjør det mulig, ved å sende spesiallagde klientforespørsler, å hacke seg inn i innholdet i andre brukeres forespørsler sendt gjennom mod_proxy (det kan for eksempel oppnå erstatning av ondsinnet JavaScript-kode i en annen brukers økt på nettstedet). Problemet er forårsaket av at innkommende tilkoblinger blir stående åpne etter å ha oppdaget feil under behandling av en ugyldig forespørselstekst.
- CVE-2022-23943: dette var et bufferoverløpssårbarhet i mod_sed-modulen som gjør at heap-minne kan overskrives med angriperkontrollerte data.
- CVE-2022-22721: Dette sikkerhetsproblemet tillot muligheten til å skrive til bufferen utenfor grensene på grunn av et heltallsoverløp som oppstår når en forespørselstekst sendes som er større enn 350 MB. Problemet manifesterer seg på 32-bits systemer der LimitXMLRequestBody-verdien er konfigurert for høy (som standard 1 MB, for et angrep må grensen være større enn 350 MB).
- CVE-2022-22719: dette er en sårbarhet i mod_lua som gjør det mulig å lese tilfeldige minneområder og blokkere prosessen når en spesiallaget forespørselstekst behandles. Problemet er forårsaket av bruk av uinitialiserte verdier i koden til r:parsebody-funksjonen.
Endelig hvis du vil vite mer om det om denne nye utgivelsen, kan du sjekke detaljene i følgende lenke.
Lad
Du kan få den nye versjonen ved å gå til det offisielle Apache-nettstedet, og i nedlastingsdelen finner du lenken til den nye versjonen.