Några dagar sedan frisläppandet av den nya korrigerande versionen av servern Apache HTTP 2.4.53, som introducerar 14 ändringar och fixar 4 sårbarheter. I tillkännagivandet av denna nya version nämns det att det är den sista utgåvan av grenen 2.4.x-versionen av Apache HTTPD och representerar femton år av innovation i projektet, och rekommenderas över alla tidigare versioner.
För de som inte känner till Apache bör de veta att detta är en populär HTTP-webbserver med öppen källkod, som är tillgängligt för Unix-plattformar (BSD, GNU / Linux, etc.), Microsoft Windows, Macintosh och andra.
Vad är nytt i Apache 2.4.53?
I lanseringen av denna nya version av Apache 2.4.53 är de mest anmärkningsvärda icke-säkerhetsrelaterade ändringarna i mod_proxy, där gränsen för antalet tecken ökades i styrenhetens namn, plus möjligheten till ström lades också till selektivt konfigurera timeouts för backend och frontend (till exempel i förhållande till en arbetare). För förfrågningar som skickas via websockets eller CONNECT-metoden har timeouten ändrats till det maximala värdet för backend och frontend.
En annan av de förändringar som sticker ut i denna nya version är separat hantering av att öppna DBM-filer och ladda DBM-drivrutinen. I händelse av en krasch visar loggen nu mer detaljerad information om felet och föraren.
En mod_md slutade behandla förfrågningar till /.well-known/acme-challenge/ om inte domänkonfigurationen uttryckligen möjliggjorde användningen av utmaningstypen 'http-01', medan i mod_dav fixades en regression som orsakade hög minnesförbrukning vid bearbetning av ett stort antal resurser.
Å andra sidan framhålls det också att förmågan att använda pcre2-biblioteket (10,x) istället för pcre (8.x) för att bearbeta reguljära uttryck och lade även till stöd för LDAP-anomaliparsning till frågefilter för att korrekt filtrera data vid försök att utföra LDAP-konstruktionsattacker och att mpm_event fixade ett dödläge som uppstår vid omstart eller överskridande av MaxConnectionsPerChild-gränsen på högt belastade system.
Av sårbarheterna som löstes i den här nya versionen, nämns följande:
- CVE-2022-22720: detta tillät möjligheten att kunna utföra en "HTTP-förfrågningssmuggling"-attack, som gör det möjligt att, genom att skicka specialgjorda klientförfrågningar, hacka sig in i innehållet i andra användares förfrågningar som överförs via mod_proxy (det kan till exempel uppnå ersättning av skadlig JavaScript-kod i en annan användares session på webbplatsen). Problemet orsakas av att inkommande anslutningar lämnas öppna efter att ha stött på fel vid bearbetning av en ogiltig begäran.
- CVE-2022-23943: detta var en buffertspillsårbarhet i mod_sed-modulen som gör att heap-minne kan skrivas över med angriparkontrollerad data.
- CVE-2022-22721: Denna sårbarhet gjorde det möjligt att skriva till bufferten utanför gränserna på grund av ett heltalsspill som uppstår när en begärandekropp som är större än 350 MB skickas. Problemet visar sig på 32-bitars system där LimitXMLRequestBody-värdet är konfigurerat för högt (som standard 1 MB, för en attack måste gränsen vara större än 350 MB).
- CVE-2022-22719: detta är en sårbarhet i mod_lua som gör det möjligt att läsa slumpmässiga minnesområden och blockera processen när en specialgjord begärandekropp bearbetas. Problemet orsakas av användningen av oinitierade värden i koden för r:parsebody-funktionen.
Slutligen om du vill veta mer om det om den här nya versionen kan du kolla in detaljerna följande länk.
Ansvarsfrihet
Du kan få den nya versionen genom att gå till den officiella Apache-webbplatsen och i dess nedladdningssektion hittar du länken till den nya versionen.