幾天前 釋放 服務器的新修正版本 阿帕奇 HTTP 2.4.53,其中引入了 14 項更改並修復了 4 個漏洞。 在這個新版本的公告中提到 這是分支的最後一個版本 Apache HTTPD 的 2.4.x 版本,代表了該項目 XNUMX 年的創新,並且在所有以前的版本中都被推薦。
對於那些不了解 Apache 的人來說,他們應該知道這是 流行的開源 HTTP Web 服務器,可用於Unix平台(BSD,GNU / Linux等),Microsoft Windows,Macintosh等。
Apache 2.4.53的新功能是什麼?
在這個新版本的 Apache 2.4.53 的發布中,最顯著的與安全無關的變化是 在 mod_proxy 中,增加了對字符數的限制 以控制器的名義,加上電源的能力也被添加 有選擇地為後端和前端配置超時 (例如,與工人有關)。 對於通過 websockets 或 CONNECT 方法發送的請求,超時已更改為為後端和前端設置的最大值。
此新版本中另一個引人注目的變化是 單獨處理打開 DBM 文件和加載 DBM 驅動程序。 如果發生崩潰,日誌現在會顯示有關錯誤和驅動程序的更詳細信息。
En mod_md 停止處理對 /.well-known/acme-challenge/ 的請求 除非域配置明確啟用了“http-01”挑戰類型的使用,而在 mod_dav 中修復了在處理大量資源時導致高內存消耗的回歸。
另一方面,也強調了 使用 pcre2 庫的能力 (10.x) 而不是 pcre (8.x) 來處理正則表達式,還添加了 LDAP 異常解析支持來查詢過濾器,以便在嘗試執行 LDAP 構造替換攻擊時正確過濾數據,並且 mpm_event 修復了在重新啟動或超過 MaxConnectionsPerChild 限制時發生的死鎖高負載系統。
的漏洞 在此新版本中已解決的問題,提到以下內容:
- CVE-2022-22720: 這使得有可能執行“HTTP 請求走私”攻擊,該攻擊允許通過發送特製的客戶端請求,侵入通過 mod_proxy 傳輸的其他用戶請求的內容(例如,它可以實現替換另一個用戶的站點會話中的惡意 JavaScript 代碼)。 該問題是由於在處理無效請求正文時遇到錯誤後傳入連接保持打開狀態所致。
- CVE-2022-23943: 這是 mod_sed 模塊中的一個緩衝區溢出漏洞,它允許堆內存被攻擊者控制的數據覆蓋。
- CVE-2022-22721: 由於傳遞大於 350 MB 的請求正文時發生整數溢出,此漏洞允許越界寫入緩衝區。 該問題在 LimitXMLRequestBody 值配置過高的 32 位系統上表現出來(默認為 1 MB,對於攻擊,限制必須大於 350 MB)。
- CVE-2022-22719: 這是 mod_lua 中的一個漏洞,它允許讀取隨機內存區域並在處理特製請求正文時阻塞進程。 問題是在r:parsebody函數的代碼中使用了未初始化的值引起的。
終於 如果您想了解更多 關於此新版本,您可以在 以下鏈接。
排出
您可以通過訪問Apache官方網站獲得新版本,並在其下載部分中找到新版本的鏈接。