Ilang araw na nakalipas ang paglabas ng ang bagong corrective na bersyon ng server Apache HTTP 2.4.53, na nagpapakilala ng 14 na pagbabago at nag-aayos ng 4 na kahinaan. Sa anunsyo nitong bagong bersyon ay nabanggit na ito ang huling paglabas ng sangay 2.4.x na release ng Apache HTTPD at kumakatawan sa labinlimang taon ng inobasyon ng proyekto, at inirerekomenda sa lahat ng nakaraang bersyon.
Para sa mga hindi nakakaalam tungkol sa Apache, dapat nilang malaman na ito ay isang sikat na open source HTTP web server, na magagamit para sa mga platform ng Unix (BSD, GNU / Linux, atbp.), Microsoft Windows, Macintosh at iba pa.
Ano ang bago sa Apache 2.4.53?
Sa paglabas ng bagong bersyon na ito ng Apache 2.4.53 ang pinaka-kapansin-pansing mga pagbabagong hindi nauugnay sa seguridad ay sa mod_proxy, kung saan ang limitasyon sa bilang ng mga character ay nadagdagan sa pangalan ng controller, idinagdag din ang kakayahang mag-power piling i-configure ang mga timeout para sa backend at frontend (halimbawa, may kaugnayan sa isang manggagawa). Para sa mga kahilingang ipinadala sa pamamagitan ng mga websocket o paraan ng CONNECT, ang timeout ay binago sa maximum na halaga na itinakda para sa backend at frontend.
Ang isa pang mga pagbabago na namumukod-tangi sa bagong bersyon ay ang hiwalay na pangangasiwa ng pagbubukas ng mga file ng DBM at paglo-load ng driver ng DBM. Sa kaganapan ng isang pag-crash, ang log ay nagpapakita na ngayon ng mas detalyadong impormasyon tungkol sa error at ang driver.
En Ang mod_md ay huminto sa pagproseso ng mga kahilingan sa /.well-known/acme-challenge/ maliban kung ang configuration ng domain ay tahasang pinagana ang paggamit ng 'http-01' na uri ng hamon, habang sa mod_dav isang regression ay naayos na nagdulot ng mataas na pagkonsumo ng memory kapag nagpoproseso ng malaking bilang ng mga mapagkukunan.
Sa kabilang banda, itinatampok din na ang kakayahang gumamit ng pcre2 library (10.x) sa halip na pcre (8.x) na magproseso ng mga regular na expression at nagdagdag din ng suporta sa pag-parse ng anomalya ng LDAP sa mga filter ng query upang i-filter nang tama ang data kapag sinusubukang magsagawa ng mga pag-atake ng pagpapalit ng LDAP construct at naayos ng mpm_event ang isang deadlock na nangyayari kapag nagre-reboot o lumampas sa limitasyon ng MaxConnectionsPerChild sa mataas na load na mga sistema.
Ng mga kahinaan na nalutas sa bagong bersyong ito, ang mga sumusunod ay binanggit:
- CVE-2022-22720: pinahintulutan nito ang posibilidad na makapagsagawa ng pag-atake na "HTTP request smuggling", na nagbibigay-daan, sa pamamagitan ng pagpapadala ng mga espesyal na ginawang kahilingan ng kliyente, na i-hack ang nilalaman ng mga kahilingan ng ibang mga user na ipinadala sa pamamagitan ng mod_proxy (halimbawa, maaari nitong makamit ang pagpapalit ng malisyosong JavaScript code sa session ng isa pang user ng site). Ang isyu ay sanhi ng mga papasok na koneksyon na naiwang bukas pagkatapos makatagpo ng mga error sa pagproseso ng isang di-wastong katawan ng kahilingan.
- CVE-2022-23943: ito ay isang buffer overflow na kahinaan sa mod_sed module na nagbibigay-daan sa heap memory na ma-overwrite ng data na kinokontrol ng attacker.
- CVE-2022-22721: Ang kahinaan na ito ay nagbigay-daan sa kakayahang sumulat sa buffer nang wala sa mga hangganan dahil sa isang integer overflow na nangyayari kapag nagpasa ng request body na mas malaki sa 350 MB. Ang problema ay nagpapakita mismo sa 32-bit system kung saan ang halaga ng LimitXMLRequestBody ay na-configure nang masyadong mataas (bilang default na 1 MB, para sa isang pag-atake ang limitasyon ay dapat na higit sa 350 MB).
- CVE-2022-22719: ito ay isang kahinaan sa mod_lua na nagbibigay-daan sa pagbabasa ng mga random na lugar ng memorya at pagharang sa proseso kapag ang isang espesyal na ginawang katawan ng kahilingan ay naproseso. Ang problema ay sanhi ng paggamit ng mga hindi inisyal na halaga sa code ng r:parsebody function.
Sa wakas kung nais mong malaman ang tungkol dito tungkol sa bagong paglabas na ito, maaari mong suriin ang mga detalye sa ang sumusunod na link.
Pagdidiskarga
Maaari mong makuha ang bagong bersyon sa pamamagitan ng pagpunta sa opisyal na website ng Apache at sa seksyon ng pag-download nito mahahanap mo ang link sa bagong bersyon.