Kilka dni temu Uwolnienie nowa korygująca wersja serwera Apache HTTP 2.4.53, który wprowadza 14 zmian i naprawia 4 luki. W ogłoszeniu nowej wersji wspomniano, że to ostatnie wydanie oddziału Wydanie 2.4.x Apache HTTPD i reprezentuje piętnaście lat innowacji w projekcie i jest zalecane w stosunku do wszystkich poprzednich wersji.
Dla tych, którzy nie wiedzą o Apache, powinni wiedzieć, że to jest popularny serwer WWW HTTP o otwartym kodzie źródłowym, który jest dostępny dla platform Unix (BSD, GNU / Linux itp.), Microsoft Windows, Macintosh i innych.
Co nowego w Apache 2.4.53?
W wydaniu tej nowej wersji Apache 2.4.53 najważniejszymi zmianami niezwiązanymi z bezpieczeństwem są: w mod_proxy, w którym zwiększono limit liczby znaków w nazwie kontrolera plus dodano również możliwość zasilania selektywnie konfiguruj limity czasu dla backendu i frontendu (na przykład w stosunku do pracownika). W przypadku żądań wysyłanych za pośrednictwem gniazd sieciowych lub metody CONNECT, limit czasu został zmieniony na maksymalną wartość ustawioną dla backendu i frontendu.
Kolejną zmianą, która wyróżnia się w tej nowej wersji, jest oddzielna obsługa otwierania plików DBM i ładowania sterownika DBM. W przypadku awarii dziennik pokazuje teraz bardziej szczegółowe informacje o błędzie i sterowniku.
En mod_md przestał przetwarzać żądania do /.well-known/acme-challenge/ chyba że konfiguracja domeny wyraźnie umożliwiła użycie typu wyzwania „http-01”, podczas gdy w mod_dav naprawiono regresję, która powodowała duże zużycie pamięci podczas przetwarzania dużej liczby zasobów.
Z drugiej strony podkreśla się również, że możliwość korzystania z biblioteki pcre2 (10.x) zamiast pcre (8.x) do przetwarzania wyrażeń regularnych, a także dodano obsługę analizowania anomalii LDAP do filtrów zapytań w celu prawidłowego filtrowania danych podczas próby przeprowadzenia ataków polegających na podstawieniu konstrukcji LDAP, a mpm_event naprawił zakleszczenie, które występuje podczas ponownego uruchamiania lub przekraczania limitu MaxConnectionsPerChild w mocno obciążone systemy.
Spośród luk które zostały rozwiązane w tej nowej wersji, wymienione są następujące:
- CVE-2022-22720: umożliwiło to wykonanie ataku „przemyt żądania HTTP”, który pozwala, poprzez wysyłanie specjalnie spreparowanych żądań klienta, włamać się do treści żądań innych użytkowników przesyłanych przez mod_proxy (np. złośliwy kod JavaScript w sesji innego użytkownika witryny). Problem jest spowodowany pozostawieniem otwartych połączeń przychodzących po napotkaniu błędów przetwarzania nieprawidłowej treści żądania.
- CVE-2022-23943: była to luka przepełnienia bufora w module mod_sed, która umożliwia nadpisanie pamięci sterty danymi kontrolowanymi przez atakującego.
- CVE-2022-22721: Ta luka umożliwiła zapisywanie w buforze poza zakresem z powodu przepełnienia liczby całkowitej, które występuje podczas przekazywania treści żądania większej niż 350 MB. Problem objawia się na systemach 32-bitowych, w których wartość LimitXMLRequestBody jest skonfigurowana zbyt wysoko (domyślnie 1 MB, dla ataku limit musi być większy niż 350 MB).
- CVE-2022-22719: jest to luka w mod_lua, która umożliwia odczytywanie losowych obszarów pamięci i blokowanie procesu podczas przetwarzania specjalnie spreparowanej treści żądania. Problem jest spowodowany użyciem niezainicjowanych wartości w kodzie funkcji r:parsebody.
W końcu jeśli chcesz dowiedzieć się więcej na ten temat o nowej wersji, możesz sprawdzić szczegóły w poniższy link.
Rozładowanie
Możesz pobrać nową wersję, przechodząc na oficjalną stronę Apache, aw jej dziale pobierania znajdziesz link do nowej wersji.