የ Apache HTTP አገልጋይ 2.4.53 ተለቋል፣ 14 ለውጦችን በማስተዋወቅ እና 4 ተጋላጭነቶችን ያስወግዳል፡
- CVE-2022-22720 - በልዩ ሁኔታ የተነደፉ የደንበኛ ጥያቄዎችን በመላክ ከሌሎች ተጠቃሚዎች በ mod_proxy በኩል ወደሚተላለፉ የጥያቄዎች ይዘቶች ውስጥ ለመግባት የሚያስችል “የኤችቲቲፒ ጥያቄ ኮንትሮባንድ” ጥቃትን የመፈፀም እድል (ለምሳሌ ፣ ይህንን ማሳካት ይችላሉ) ተንኮል አዘል የጃቫ ስክሪፕት ኮድ ወደ ሌላ የጣቢያው ተጠቃሚ ክፍለ ጊዜ ማስገባት)። ችግሩ የተፈጠረው ልክ ያልሆነ የጥያቄ አካልን በሚሰራበት ጊዜ ስህተቶች ከተከሰቱ በኋላ ገቢ ግንኙነቶችን በመተው ነው።
- CVE-2022-23943 በሞድ_ሴድ ሞጁል ውስጥ ያለው ቋት ሞልቶ መፍሰስ የክምር ማህደረ ትውስታ ይዘት በአጥቂ ቁጥጥር ስር ባለው መረጃ እንዲፃፍ ያስችለዋል።
- CVE-2022-22721 ከ350ሜባ በላይ የሆነ የጥያቄ አካል በሚያልፉበት ጊዜ በሚፈጠረው የኢንቲጀር ብዛት ምክንያት ከወሰን ውጪ ሊጻፍ ይችላል። ችግሩ የLimitXMLRequestBody ዋጋ በጣም ከፍተኛ በሆነበት ቅንጅቶች ውስጥ በ32-ቢት ሲስተሞች ላይ ይታያል (በነባሪ 1 ሜባ ለጥቃቱ ገደቡ ከ350 ሜባ በላይ መሆን አለበት።
- CVE-2022-22719 በ mod_lua ውስጥ ያለ የተጋላጭነት ሁኔታ በዘፈቀደ ማህደረ ትውስታ ለማንበብ እና በልዩ ሁኔታ የተሰራ የጥያቄ አካልን በሚሰራበት ጊዜ የሂደት ብልሽት ነው። ችግሩ የተፈጠረው በ r:parsebody ተግባር ኮድ ውስጥ ያልታወቁ እሴቶችን በመጠቀም ነው።
በጣም ታዋቂዎቹ የደህንነት ያልሆኑ ለውጦች የሚከተሉት ናቸው
- በ mod_proxy ውስጥ በሠራተኛው (በሠራተኛ) ስም የቁምፊዎች ብዛት ላይ ያለው ገደብ ጨምሯል። ለኋላ እና ለግንባር (ለምሳሌ ከሰራተኛ ጋር በተገናኘ) የጊዜ ማብቂያዎችን እየመረጡ የማዋቀር ችሎታ ታክሏል። በዌብሶኬቶች ወይም በCONNECT ዘዴ ለሚላኩ ጥያቄዎች፣ ጊዜው የሚያበቃበት ጊዜ ለኋለኛው እና ለግንባሩ የተቀመጠው ከፍተኛው እሴት ተቀይሯል።
- የዲቢኤም ፋይሎችን የመክፈት እና የዲቢኤም ሾፌርን የመጫን ሂደት ተለያይቷል። ውድቀት በሚከሰትበት ጊዜ, ምዝግብ ማስታወሻው አሁን ስለ ስህተቱ እና ስለ ነጂው የበለጠ ዝርዝር መረጃ ያሳያል.
- የጎራ ቅንጅቶቹ የ'http-01' የማረጋገጫ አይነት በግልፅ እስካልቻሉ ድረስ mod_md ለ /.well-known/acme-challenge/ ጥያቄዎችን ማካሄድ አቁሟል።
- Mod_dav ብዙ ቁጥር ያላቸውን ሀብቶች በሚይዝበት ጊዜ ከፍተኛ የማህደረ ትውስታ ፍጆታ ያስከተለውን ሪግሬሽን አስተካክሏል።
- መደበኛ አገላለጾችን ለመስራት ከpcre (2.x) ይልቅ pcre10 (8.x) ቤተ-መጽሐፍትን የመጠቀም ችሎታ ታክሏል።
- የኤልዲኤፒን የመተካት ጥቃቶችን ለመፈጸም በሚሞከርበት ጊዜ መረጃን በትክክል ለማጣራት ማጣሪያዎችን ለመጠየቅ ለኤልዲኤፒ ፕሮቶኮል ያልተለመደ ትንተና ድጋፍ ታክሏል።
- በmpm_event ውስጥ፣ በጣም በተጫኑ ስርዓቶች ላይ እንደገና ሲጀመር ወይም የMaxConnectionsPerChild ገደብ ሲያልፍ የሚፈጠረው መቆለፍ ተወግዷል።
ምንጭ: opennet.ru