Maalmo ka hor sii deynta nooca cusub ee sixitaanka ee server-ka Apache HTTP 2.4.53, kaas oo soo bandhigaya 14 isbeddel oo hagaajinaya 4 baylahda. Ku dhawaaqista nuqulkan cusub ayaa lagu sheegay in waa sii dayntii ugu dambeysay ee laanta 2.4.x sii deynta Apache HTTPD waxayna ka dhigan tahay shan iyo toban sano oo hal-abuurnimo mashruuca, waxaana lagula talinayaa dhammaan noocyadii hore.
Kuwa aan ka aqoon Apache, waa inay ogaadaan inay tani tahay il furan oo caan ah oo HTTP shabakad shabakadeed, oo loo heli karo barnaamijyada Unix (BSD, GNU / Linux, iwm.), Microsoft Windows, Macintosh iyo kuwa kale.
Maxaa ku cusub Apache 2.4.53?
Siideynta nooca cusub ee Apache 2.4.53 isbeddellada aan amniga la xiriirin ee ugu caansan waa in mod_proxy, kaas oo xadka tirada jilayaasha la kordhiyay Magaca kantaroolaha, oo lagu daray awoodda awoodda ayaa sidoo kale lagu daray si xushmad leh u habeeya waqtiyada gadaaman iyo kuwa hore (tusaale ahaan, marka la eego shaqaalaha). Codsiyada lagu soo diro websockets ama habka CONNECT, wakhtiga ka dhamaaday ayaa loo bedelay qiimaha ugu badan ee loo dejiyay dhabarka iyo hore.
Isbeddelada kale ee ka dhex muuqda noocyadan cusub ayaa ah maaraynta kala duwan ee furitaanka faylasha DBM iyo rarista darawalka DBM. Haddii ay dhacdo shil, loggu hadda wuxuu muujinayaa macluumaad faahfaahsan oo ku saabsan qaladka iyo darawalka.
En mod_md wuxuu joojiyay codsiyadii /.well-known/acme-challenge/ ilaa qaabaynta domainka si cad ugu suurta galin isticmaalka nooca tartanka 'http-01', halka mod_dav dib u celin la hagaajiyay taas oo sababtay isticmaalka xusuusta sare marka la farsameynayo tiro badan oo agab ah.
Dhanka kale, waxaa sidoo kale la iftiimiyay in awoodda isticmaalka pcre2 maktabadda (10.x) halkii laga isticmaali lahaa pcre (8.x) si loo farsameeyo tibaaxaha caadiga ah iyo sidoo kale waxay ku dartay LDAP si aan caadi ahayn u faaqida shaandhada weydiinta si ay si sax ah u shaandhayso xogta marka la isku dayayo in la sameeyo LDAP weerarrada beddelka ah iyo in mpm_event ay go'aamiso xidhitaanno dhaca marka dib loo bilaabo ama uu dhaafo xadka MaxConnectionsPerChild nidaamyada aadka u raran.
Ee dayacanka kuwaas oo lagu xaliyay nooca cusub, kuwan soo socda ayaa lagu sheegay:
- XAFLAD-2022-22720: Tani waxay ogolaatay suurtagalnimada in la awoodo in lagu fuliyo weerar "HTTP codsiga tahriibinta", taas oo u oggolaanaysa, adoo diraya codsiyada macaamiisha si gaar ah loo farsameeyey, in la jabsado nuxurka codsiyada isticmaalayaasha kale ee lagu gudbiyo mod_proxy (tusaale ahaan, waxay gaari kartaa beddelka Koodhka JavaScript xaasidnimada leh ee fadhiga isticmaale kale ee goobta). Arrintu waxa sabab u ah xidhiidhada soo galaya oo furan ka dib markii ay la kulmaan khaladaad ka habaynaya hay'ad codsi aan ansax ahayn.
- XAFLAD-2022-23943: tani waxay ahayd nuglaanta xad dhaafka ah ee ku jirta moduleka mod_sed kaas oo u oggolaanaya xusuusta taallo in lagu dul qoro xogta weeraryahanku gacanta ku hayo.
- XAFLAD-2022-22721: Nuglaantani waxay ogolaatay awooda in wax loogu qoro kaydiyaha ka baxsan xuduudka sababtoo ah qulqulka buuxa ee isugeynta kaas oo dhaca marka la gudbiyo codsi ka weyn 350 MB. Dhibaatadu waxay isku muujisaa nidaamyada 32-bit kaas oo qiimaha LimitXMLRequestBody loo habeeyey mid aad u sarreeya (sida caadiga ah 1 MB, weerarka xadka waa inuu ka weyn yahay 350 MB).
- XAFLAD-2022-22719: tani waa u nuglaanshaha mod_lua taas oo u ogolaanaysa in la akhriyo meelaha xusuusta random iyo xannibaadda habka marka hay'ad si gaar ah loo farsameeyay codsiga. Dhibaatada waxaa sababa isticmaalka qiyamka aan la aqoon ee ku jira koodhka r: parsebody function.
Finalmente hadaad rabto inaad waxbadan ka ogaato ku saabsan sii deynta cusub, waxaad ka eegi kartaa faahfaahinta ku jirta xiriirka soo socda.
Download
Waxaad ku heli kartaa nooca cusub adoo aadaya bogga rasmiga ah ee Apache boggeeda soo dejintana waxaad kaheleysaa iskuxirka nooca cusub.