Disa ditë më parë lirimin e versioni i ri korrigjues i serverit Apache HTTP 2.4.53, i cili prezanton 14 ndryshime dhe rregullon 4 dobësi. Në njoftimin e këtij versioni të ri përmendet se është lëshimi i fundit i degës Lëshimi 2.4.x i Apache HTTPD dhe përfaqëson pesëmbëdhjetë vjet inovacion nga projekti dhe rekomandohet mbi të gjitha versionet e mëparshme.
Për ata që nuk dinë për Apache, ata duhet të dinë se kjo është një server i njohur në internet HTTP me burim të hapur, e cila është në dispozicion për platformat Unix (BSD, GNU / Linux, etj.), Microsoft Windows, Macintosh dhe të tjerët.
Çfarë ka të re në Apache 2.4.53?
Në lëshimin e këtij versioni të ri të Apache 2.4.53 ndryshimet më të dukshme që nuk lidhen me sigurinë janë në mod_proxy, në të cilën u rrit kufiri në numrin e karaktereve në emër të kontrolluesit, plus aftësia për të fuqizuar u shtua gjithashtu konfiguroni në mënyrë selektive afatet kohore për backend dhe frontend (për shembull, në lidhje me një punëtor). Për kërkesat e dërguara nëpërmjet prizave të internetit ose metodës CONNECT, koha e skadimit është ndryshuar në vlerën maksimale të vendosur për pjesën e pasme dhe frontin.
Një tjetër nga ndryshimet që bie në sy në këtë version të ri është trajtim i veçantë i hapjes së skedarëve DBM dhe ngarkimit të drejtuesit të DBM. Në rast përplasjeje, regjistri tani tregon informacion më të detajuar në lidhje me gabimin dhe drejtuesin.
En mod_md ndaloi përpunimin e kërkesave për /.well-known/acme-challenge/ përveç nëse konfigurimi i domenit mundësoi në mënyrë eksplicite përdorimin e llojit të sfidës 'http-01', ndërsa në mod_dav u fiksua një regresion që shkaktoi konsum të lartë të memories gjatë përpunimit të një numri të madh burimesh.
Nga ana tjetër, theksohet gjithashtu se aftësia për të përdorur bibliotekën pcre2 (10.x) në vend të pcre (8.x) për të përpunuar shprehjet e rregullta dhe gjithashtu shtoi mbështetje për analizimin e anomalive LDAP në filtrat e pyetësorit për të filtruar saktë të dhënat kur përpiqeni të kryeni sulme zëvendësuese të konstruksionit LDAP dhe që mpm_event rregulloi një bllokim që ndodh kur rindezni ose tejkaloni kufirin MaxConnectionsPerChild në sisteme me ngarkesë të lartë.
Nga dobësitë që u zgjidhën në këtë version të ri, përmenden sa vijon:
- CVE-2022-22720: kjo lejoi mundësinë e kryerjes së një sulmi "kontrabandë me kërkesë HTTP", i cili lejon, duke dërguar kërkesa klientësh të krijuara posaçërisht, të hakojë përmbajtjen e kërkesave të përdoruesve të tjerë të transmetuara përmes mod_proxy (për shembull, mund të arrijë zëvendësimin e kodi keqdashës JavaScript në sesionin e një përdoruesi tjetër të faqes). Problemi shkaktohet nga lidhja e hapur e lidhjeve hyrëse pasi hasni gabime në përpunimin e një trupi kërkese të pavlefshme.
- CVE-2022-23943: kjo ishte një dobësi e tejmbushjes së buferit në modulin mod_sed që lejon që memoria e grumbullit të mbishkruhet me të dhëna të kontrolluara nga sulmuesi.
- CVE-2022-22721: Kjo dobësi lejoi aftësinë për të shkruar në buffer jashtë kufijve për shkak të një tejkalimi të numrit të plotë që ndodh kur kalon një trup kërkese më të madhe se 350 MB. Problemi shfaqet në sistemet 32-bit në të cilat vlera LimitXMLRequestBody është konfiguruar shumë e lartë (si parazgjedhje 1 MB, për një sulm kufiri duhet të jetë më i madh se 350 MB).
- CVE-2022-22719: ky është një cenueshmëri në mod_lua që lejon leximin e zonave të rastësishme të memories dhe bllokimin e procesit kur përpunohet një trup kërkese i krijuar posaçërisht. Problemi është shkaktuar nga përdorimi i vlerave të painitializuara në kodin e funksionit r:parsebody.
Më në fund nëse doni të dini më shumë rreth saj në lidhje me këtë lëshim të ri, mund t'i kontrolloni detajet në lidhja e mëposhtme.
Shkarkoj
Ju mund të merrni versionin e ri duke shkuar në faqen zyrtare të Apache dhe në seksionin e shkarkimit të tij do të gjeni lidhjen për versionin e ri.