Кілька днів тому звільнення нова коригувальна версія сервера Apache HTTP 2.4.53, який вносить 14 змін і виправляє 4 уразливості. В анонсі цієї нової версії зазначено, що це останній випуск філії 2.4.x випуск Apache HTTPD і представляє п’ятнадцять років інновацій проекту та рекомендований порівняно з усіма попередніми версіями.
Для тих, хто не знає про Apache, вони повинні знати, що це так популярний веб-сервер HTTP з відкритим вихідним кодом, яка доступна для платформ Unix (BSD, GNU / Linux та ін.), Microsoft Windows, Macintosh та інших.
Що нового в Apache 2.4.53?
У випуску цієї нової версії Apache 2.4.53 найбільш помітними змінами, які не стосуються безпеки, є в mod_proxy, в якому збільшено обмеження на кількість символів в ім'я контролера, плюс також була додана можливість живлення вибірково налаштувати тайм-аути для бекенда та інтерфейсу (наприклад, по відношенню до робітника). Для запитів, надісланих через веб-сокети або метод CONNECT, тайм-аут було змінено на максимальне значення, установлене для бекенда та інтерфейсу.
Ще однією із змін, яка виділяється в цій новій версії, є окрема обробка відкриття файлів DBM і завантаження драйвера DBM. У разі збою в журналі тепер відображається більш детальна інформація про помилку та драйвер.
En mod_md припинив обробку запитів до /.well-known/acme-challenge/ якщо конфігурація домену явно не дозволяла використовувати тип виклику 'http-01', тоді як у mod_dav була виправлена регресія, яка спричиняла високе споживання пам'яті при обробці великої кількості ресурсів.
З іншого боку, також підкреслюється, що можливість використання бібліотеки pcre2 (10.x) замість pcre (8.x) для обробки регулярних виразів, а також додано підтримку аналізу аномалій LDAP до фільтрів запитів, щоб правильно фільтрувати дані під час спроби виконати атаки заміни конструкцій LDAP, і цей mpm_event усунув тупик, який виникає під час перезавантаження або перевищення обмеження MaxConnectionsPerChild на високонавантажені системи.
Про вразливості які були вирішені в цій новій версії, згадується наступне:
- CVE-2022-22720: це дало можливість здійснити атаку "контрабандного HTTP-запиту", яка дозволяє, надсилаючи спеціально створені клієнтські запити, зламати вміст запитів інших користувачів, що передаються через mod_proxy (наприклад, можна досягти заміни шкідливий код JavaScript у сесії іншого користувача сайту). Проблема спричинена тим, що вхідні з’єднання залишаються відкритими після помилок обробки недійсного тіла запиту.
- CVE-2022-23943: це була вразливість переповнення буфера в модулі mod_sed, що дозволяє перезаписувати пам'ять купи даними, контрольованими зловмисниками.
- CVE-2022-22721: Ця вразливість дозволяла записувати в буфер поза межами через цілочисельне переповнення, яке виникає при передачі тіла запиту розміром більше 350 МБ. Проблема проявляється в 32-розрядних системах, у яких значення LimitXMLRequestBody налаштовано занадто високо (за замовчуванням 1 МБ, для атаки обмеження має бути більше 350 МБ).
- CVE-2022-22719: це вразливість у mod_lua, яка дозволяє читати довільні області пам'яті та блокувати процес під час обробки спеціально створеного тіла запиту. Проблема викликана використанням неініціалізованих значень у коді функції r:parsebody.
В кінці кінців якщо ви хочете дізнатися більше про це про цей новий випуск, ви можете перевірити деталі в за наступним посиланням.
Виконувати
Ви можете отримати нову версію, перейшовши на офіційний веб-сайт Apache, і в розділі її завантаження ви знайдете посилання на нову версію.