บางวันที่ผ่านมา การเปิดตัวของ เซิฟเวอร์เวอร์ชั่นแก้ไขใหม่ Apache HTTP 2.4.53ซึ่งแนะนำการเปลี่ยนแปลง 14 รายการและแก้ไขช่องโหว่ 4 รายการ ในการประกาศเวอร์ชั่นใหม่นี้ได้กล่าวไว้ว่า เป็นรุ่นสุดท้ายของสาขา การเปิดตัว Apache HTTPD 2.4.x และแสดงถึงนวัตกรรม XNUMX ปีโดยโปรเจ็กต์ และแนะนำให้ใช้กับเวอร์ชันก่อนหน้าทั้งหมด
สำหรับผู้ที่ไม่รู้จัก Apache ควรรู้ว่านี่คือ เว็บเซิร์ฟเวอร์ HTTP โอเพ่นซอร์สยอดนิยมซึ่งพร้อมใช้งานสำหรับแพลตฟอร์ม Unix (BSD, GNU / Linux ฯลฯ ), Microsoft Windows, Macintosh และอื่น ๆ
มีอะไรใหม่ใน Apache 2.4.53?
ในการเปิดตัว Apache 2.4.53 เวอร์ชันใหม่นี้ การเปลี่ยนแปลงที่ไม่เกี่ยวกับความปลอดภัยที่โดดเด่นที่สุดคือ ใน mod_proxy ซึ่งเพิ่มขีด จำกัด จำนวนอักขระ ในนามของคอนโทรลเลอร์ บวกกับความสามารถในการจ่ายไฟด้วย เลือกกำหนดค่าระยะหมดเวลาสำหรับแบ็กเอนด์และส่วนหน้า (ตัวอย่างเช่น เกี่ยวกับคนงาน) สำหรับคำขอที่ส่งผ่าน websockets หรือวิธี CONNECT การหมดเวลาได้เปลี่ยนเป็นค่าสูงสุดที่ตั้งไว้สำหรับแบ็กเอนด์และฟรอนท์เอนด์
การเปลี่ยนแปลงอีกประการหนึ่งที่โดดเด่นในเวอร์ชันใหม่นี้คือไฟล์ แยกการจัดการการเปิดไฟล์ DBM และการโหลดไดรเวอร์ DBM ในกรณีที่เกิดการขัดข้อง บันทึกจะแสดงข้อมูลโดยละเอียดเพิ่มเติมเกี่ยวกับข้อผิดพลาดและไดรเวอร์
En mod_md หยุดประมวลผลคำขอไปยัง /.well-known/acme-challenge/ เว้นแต่การกำหนดค่าโดเมนจะเปิดใช้งานการใช้ประเภทความท้าทาย 'http-01' อย่างชัดเจน ในขณะที่ใน mod_dav การถดถอยได้รับการแก้ไขซึ่งทำให้มีการใช้หน่วยความจำสูงเมื่อประมวลผลทรัพยากรจำนวนมาก
ในทางกลับกัน ยังเน้นย้ำว่า ความสามารถในการใช้ไลบรารี pcre2 (10.x) แทนที่จะใช้ pcre (8.x) เพื่อประมวลผลนิพจน์ทั่วไป และยังเพิ่มการสนับสนุนการแยกวิเคราะห์ความผิดปกติของ LDAP ให้กับตัวกรองการสืบค้นเพื่อกรองข้อมูลอย่างถูกต้องเมื่อพยายามดำเนินการโจมตีแทนการสร้าง LDAP และ mpm_event นั้นแก้ไขการหยุดชะงักที่เกิดขึ้นเมื่อรีบูตหรือเกินขีดจำกัด MaxConnectionsPerChild ระบบโหลดสูง
ของจุดอ่อน ที่ได้รับการแก้ไขในเวอร์ชันใหม่นี้ มีการกล่าวถึงต่อไปนี้:
- CVE-2022-22720: สิ่งนี้ทำให้มีความเป็นไปได้ที่จะสามารถทำการโจมตี "การลักลอบขอ HTTP" ได้ ซึ่งช่วยให้แฮ็คเข้าไปในเนื้อหาของคำขอของผู้ใช้รายอื่นที่ส่งผ่าน mod_proxy โดยการส่งคำขอของลูกค้าที่ออกแบบมาเป็นพิเศษ โค้ด JavaScript ที่เป็นอันตรายในเซสชันของผู้ใช้รายอื่นของไซต์) ปัญหานี้เกิดจากการเปิดการเชื่อมต่อขาเข้าทิ้งไว้หลังจากพบข้อผิดพลาดในการประมวลผลเนื้อหาคำขอที่ไม่ถูกต้อง
- CVE-2022-23943: นี่เป็นช่องโหว่บัฟเฟอร์ล้นในโมดูล mod_sed ที่อนุญาตให้เขียนทับหน่วยความจำฮีพด้วยข้อมูลที่ควบคุมโดยผู้โจมตี
- CVE-2022-22721: ช่องโหว่นี้ทำให้สามารถเขียนไปยังบัฟเฟอร์นอกขอบเขตได้เนื่องจากจำนวนเต็มล้นที่เกิดขึ้นเมื่อส่งเนื้อความคำขอที่มีขนาดใหญ่กว่า 350 MB ปัญหาปรากฏบนระบบ 32 บิตซึ่งมีการกำหนดค่า LimitXMLRequestBody สูงเกินไป (โดยค่าเริ่มต้น 1 MB สำหรับการโจมตี ขีดจำกัดต้องมากกว่า 350 MB)
- CVE-2022-22719: นี่เป็นช่องโหว่ใน mod_lua ที่อนุญาตให้อ่านพื้นที่หน่วยความจำแบบสุ่มและบล็อกกระบวนการเมื่อประมวลผลเนื้อหาคำขอที่สร้างขึ้นเป็นพิเศษ ปัญหาเกิดจากการใช้ค่าที่ไม่ได้กำหนดค่าเริ่มต้นในโค้ดของฟังก์ชัน r:parsebody
ในที่สุด หากคุณต้องการทราบข้อมูลเพิ่มเติม เกี่ยวกับรุ่นใหม่นี้คุณสามารถตรวจสอบรายละเอียดได้ใน ลิงค์ต่อไปนี้
ปล่อย
คุณสามารถรับเวอร์ชันใหม่ได้โดยไปที่เว็บไซต์อย่างเป็นทางการของ Apache และในส่วนดาวน์โหลดคุณจะพบลิงก์ไปยังเวอร์ชันใหม่