Pred nekaj dnevi sprostitev novo korektivno različico strežnika Apache HTTP 2.4.53, ki uvaja 14 sprememb in odpravlja 4 ranljivosti. V napovedi te nove različice je omenjeno, da to je zadnja izdaja veje 2.4.x izdaja Apache HTTPD in predstavlja petnajst let inovacij projekta in je priporočljiva za vse prejšnje različice.
Za tiste, ki ne vedo za Apache, bi morali vedeti, da je to priljubljeni odprtokodni spletni strežnik HTTP, ki je na voljo za platforme Unix (BSD, GNU / Linux itd.), Microsoft Windows, Macintosh in druge.
Kaj je novega v Apache 2.4.53?
V izdaji te nove različice Apache 2.4.53 so najpomembnejše spremembe, ki niso povezane z varnostjo. v mod_proxy, v katerem je bila povečana omejitev števila znakov v imenu krmilnika je bila dodana tudi možnost napajanja selektivno konfigurirajte časovne omejitve za backend in frontend (na primer v zvezi z delavcem). Za zahteve, poslane prek spletnih vtičnic ali metode CONNECT, je bila časovna omejitev spremenjena na največjo vrednost, nastavljeno za zaledno in sprednjo stran.
Druga sprememba, ki izstopa v tej novi različici, je ločeno ravnanje z odpiranjem datotek DBM in nalaganjem gonilnika DBM. V primeru zrušitve dnevnik zdaj prikazuje podrobnejše informacije o napaki in gonilniku.
En mod_md je prenehal obdelovati zahteve za /.well-known/acme-challenge/ razen če je konfiguracija domene izrecno omogočila uporabo vrste izziva 'http-01', medtem ko je bila v mod_dav popravljena regresija, ki je povzročila veliko porabo pomnilnika pri obdelavi velikega števila virov.
Po drugi strani pa je tudi poudarjeno, da možnost uporabe knjižnice pcre2 (10.x) namesto pcre (8.x) za obdelavo regularnih izrazov in dodana tudi podpora za razčlenjevanje anomalij LDAP za filtre poizvedb za pravilno filtriranje podatkov pri poskusu izvajanja napadov zamenjave konstrukcije LDAP in ta mpm_event je odpravil zastoj, ki se pojavi pri ponovnem zagonu ali preseganju omejitve MaxConnectionsPerChild na visoko obremenjeni sistemi.
Od ranljivosti ki so bili rešeni v tej novi različici, je omenjeno naslednje:
- CVE-2022-22720: to je omogočilo možnost izvajanja napada "pretihotapljenje zahtev HTTP", ki omogoča vdor v vsebino zahtev drugih uporabnikov, posredovanih prek mod_proxy, s pošiljanjem posebej izdelanih odjemalskih zahtev (na primer lahko doseže zamenjavo zlonamerno kodo JavaScript v seji drugega uporabnika spletnega mesta). Težavo povzročajo dohodne povezave, ki ostanejo odprte, potem ko naletijo na napake pri obdelavi neveljavnega telesa zahteve.
- CVE-2022-23943: to je bila ranljivost za prelivanje medpomnilnika v modulu mod_sed, ki omogoča prepis pomnilnika kopice s podatki, ki jih nadzoruje napadalec.
- CVE-2022-22721: Ta ranljivost je omogočila možnost pisanja v medpomnilnik izven meja zaradi prelivanja celega števila, ki se pojavi pri posredovanju telesa zahteve, večjega od 350 MB. Težava se kaže v 32-bitnih sistemih, v katerih je vrednost LimitXMLRequestBody konfigurirana previsoka (privzeto 1 MB, za napad mora biti omejitev večja od 350 MB).
- CVE-2022-22719: to je ranljivost v mod_lua, ki omogoča branje naključnih pomnilniških območij in blokiranje procesa, ko se obdela posebej izdelano telo zahteve. Težava je posledica uporabe neinicializiranih vrednosti v kodi funkcije r:parsebody.
Končno če želite vedeti več o tem o tej novi izdaji si lahko podrobnosti ogledate v naslednjo povezavo.
Razrešnica
Novo različico lahko dobite na uradnem spletnem mestu Apache in v razdelku za prenos najdete povezavo do nove različice.