Несколько дней тому назад выпуск новая корректирующая версия сервера HTTP-апач 2.4.53, который вносит 14 изменений и устраняет 4 уязвимости. В анонсе этой новой версии упоминается, что это последний релиз ветки 2.4.x Apache HTTPD, представляет пятнадцать лет инноваций проекта и рекомендуется по сравнению со всеми предыдущими версиями.
Для тех, кто не знает об Apache, им следует знать, что это популярный веб-сервер HTTP с открытым исходным кодом, который доступен для платформ Unix (BSD, GNU / Linux и др.), Microsoft Windows, Macintosh и других.
Что нового в Apache 2.4.53?
В выпуске этой новой версии Apache 2.4.53 наиболее заметными изменениями, не связанными с безопасностью, являются в mod_proxy, в котором увеличен лимит на количество символов в названии контроллера, плюс еще добавили возможность питания выборочно настраивать тайм-ауты для бэкенда и интерфейса (например, по отношению к рабочему). Для запросов, отправляемых через веб-сокеты или метод CONNECT, таймаут изменен на максимальное значение, установленное для бэкенда и фронтенда.
Еще одно изменение, которое выделяется в этой новой версии, - это отдельная обработка открытия файлов DBM и загрузки драйвера DBM. В случае сбоя журнал теперь показывает более подробную информацию об ошибке и драйвере.
En mod_md перестал обрабатывать запросы к /.well-known/acme-challenge/ если только конфигурация домена явно не разрешала использование типа вызова 'http-01', а в mod_dav была исправлена регрессия, вызывавшая высокое потребление памяти при обработке большого количества ресурсов.
С другой стороны, также подчеркивается, что возможность использовать библиотеку pcre2 (10.х) вместо pcre (8.x) для обработки регулярных выражений, а также добавлена поддержка синтаксического анализа аномалий LDAP для фильтров запросов для правильной фильтрации данных при попытке выполнить атаки подстановки конструкции LDAP, и что mpm_event исправил взаимоблокировку, возникающую при перезагрузке или превышении ограничения MaxConnectionsPerChild на высоконагруженные системы.
Об уязвимостях которые были решены в этой новой версии, упоминаются следующие:
- CVE-2022-22720: это дало возможность выполнить атаку «контрабанда HTTP-запросов», которая позволяет, отправляя специально созданные клиентские запросы, взламывать содержимое запросов других пользователей, передаваемых через mod_proxy (например, может добиться подмены вредоносный код JavaScript в сеансе другого пользователя сайта). Проблема вызвана тем, что входящие соединения остаются открытыми после обнаружения ошибок при обработке недопустимого тела запроса.
- CVE-2022-23943: это была уязвимость переполнения буфера в модуле mod_sed, которая позволяет перезаписывать память кучи данными, контролируемыми злоумышленником.
- CVE-2022-22721: Эта уязвимость допускала возможность записи в буфер за пределы границ из-за целочисленного переполнения, возникающего при передаче тела запроса размером более 350 МБ. Проблема проявляется на 32-битных системах, в которых значение LimitXMLRequestBody настроено слишком большим (по умолчанию 1 МБ, для атаки ограничение должно быть больше 350 МБ).
- CVE-2022-22719: это уязвимость в mod_lua, позволяющая считывать случайные области памяти и блокировать процесс при обработке специально созданного тела запроса. Проблема вызвана использованием неинициализированных значений в коде функции r:parsebody.
В конце концов если вы хотите узнать об этом больше об этом новом выпуске вы можете проверить подробности в по следующей ссылке.
Выполнять
Вы можете получить новую версию, перейдя на официальный сайт Apache, где в разделе загрузки вы найдете ссылку на новую версию.