前几天 释放 服务器的新修正版本 阿帕奇 HTTP 2.4.53,其中引入了 14 项更改并修复了 4 个漏洞。 在这个新版本的公告中提到 这是分支的最后一个版本 Apache HTTPD 的 2.4.x 版本,代表了该项目 XNUMX 年的创新,并且在所有以前的版本中都被推荐。
对于那些不了解 Apache 的人来说,他们应该知道这是 一个流行的开源 HTTP Web 服务器,可用于Unix平台(BSD,GNU / Linux等),Microsoft Windows,Macintosh等。
Apache 2.4.53的新功能是什么?
在这个新版本的 Apache 2.4.53 的发布中,最显着的与安全无关的变化是 在 mod_proxy 中,增加了对字符数的限制 以控制器的名义,加上电源的能力也被添加 有选择地为后端和前端配置超时 (例如,与工人有关)。 对于通过 websockets 或 CONNECT 方法发送的请求,超时已更改为为后端和前端设置的最大值。
此新版本中另一个引人注目的变化是 单独处理打开 DBM 文件和加载 DBM 驱动程序。 如果发生崩溃,日志现在会显示有关错误和驱动程序的更详细信息。
En mod_md 停止处理对 /.well-known/acme-challenge/ 的请求 除非域配置明确启用了“http-01”挑战类型的使用,而在 mod_dav 中修复了在处理大量资源时导致高内存消耗的回归。
另一方面,也强调了 使用 pcre2 库的能力 (10.x) 而不是 pcre (8.x) 来处理正则表达式,还添加了 LDAP 异常解析支持来查询过滤器,以便在尝试执行 LDAP 构造替换攻击时正确过滤数据,并且 mpm_event 修复了在重新启动或超过 MaxConnectionsPerChild 限制时发生的死锁高负载系统。
的漏洞 在此新版本中已解决的问题,提到以下内容:
- CVE-2022-22720: 这使得能够执行“HTTP 请求走私”攻击成为可能,该攻击允许通过发送特制的客户端请求,侵入通过 mod_proxy 传输的其他用户请求的内容(例如,它可以实现替换另一个用户的站点会话中的恶意 JavaScript 代码)。 该问题是由于在处理无效请求正文时遇到错误后传入连接保持打开状态所致。
- CVE-2022-23943: 这是 mod_sed 模块中的一个缓冲区溢出漏洞,它允许堆内存被攻击者控制的数据覆盖。
- CVE-2022-22721: 由于传递大于 350 MB 的请求正文时发生整数溢出,此漏洞允许越界写入缓冲区。 该问题在 LimitXMLRequestBody 值配置过高的 32 位系统上表现出来(默认为 1 MB,对于攻击,限制必须大于 350 MB)。
- CVE-2022-22719: 这是 mod_lua 中的一个漏洞,它允许读取随机内存区域并在处理特制请求正文时阻塞进程。 问题是在r:parsebody函数的代码中使用了未初始化的值引起的。
最后 如果您想了解更多 关于此新版本,您可以在 以下链接。
排出
您可以通过访问Apache官方网站获取新版本,并在其下载部分中找到新版本的链接。