የ Apache HTTP አገልጋይ 2.4.53 ተለቋል፣ 19 ለውጦችን በማስተዋወቅ እና 8 ተጋላጭነቶችን ያስወግዳል፡
- CVE-2022-31813 በ mod_proxy ውስጥ ያለ ተጋላጭነት ሲሆን ይህም የ X-Forwarded-* ራስጌዎችን ከዋናው ጥያቄ የመጣበትን የአይፒ አድራሻ መረጃ መላክን ለማገድ የሚያስችል ነው። ችግሩ በአይፒ አድራሻዎች ላይ በመመስረት የመዳረሻ ገደቦችን ለማለፍ ጥቅም ላይ ሊውል ይችላል።
- CVE-2022-30556 በMod_lua ውስጥ ያለው የተጋላጭነት አደጋ ከተመደበው ቋት ውጭ ያለውን መረጃ በ Lua ስክሪፕቶች በመጠቀም r:wsread() ተግባርን በመጠቀም ነው።
- CVE-2022-30522 - የተወሰኑ መረጃዎችን በሞድ_ሴድ ሞጁል ሲሰራ የአገልግሎቱን መከልከል (የሚገኝ የማህደረ ትውስታ ድካም)።
- CVE-2022-29404 በ mod_lua ውስጥ አገልግሎት መከልከል ነው r:parsebody(0) ጥሪን በመጠቀም በልዩ መልኩ የተሰሩ ጥያቄዎችን ወደ Lua ተቆጣጣሪዎች በመላክ የሚጠቀመው።
- CVE-2022-28615, CVE-2022-28614 - በap_strcmp_match () እና ap_rwrite () ተግባራት ውስጥ ባሉ ስህተቶች ምክንያት አገልግሎትን መከልከል ወይም በሂደት ማህደረ ትውስታ ውስጥ ያለ የውሂብ መዳረሻ ፣ ይህም ከጠባቂው ወሰን በላይ ካለ ንባብ ያስከትላል።
- CVE-2022-28330 - በ mod_isapi ውስጥ ከክልል ውጭ ያሉ ቦታዎች የመረጃ መፍሰስ (ጉዳዩ በዊንዶውስ መድረክ ላይ ብቻ ነው)።
- CVE-2022-26377 - የ mod_proxy_ajp ሞጁል ለኤችቲቲፒ ጥያቄ የተጋለጠ የኮንትሮባንድ ጥቃቶች በግንባር-በስተጀርባ ሲስተሞች፣ ይህም በፊተኛው እና በኋለኛው መካከል በተመሳሳይ ክር ወደተሰሩ የሌሎች ተጠቃሚዎች ጥያቄ ይዘቶች ውስጥ እራሱን እንዲያስገባ ያስችለዋል።
በጣም ታዋቂዎቹ የደህንነት ያልሆኑ ለውጦች የሚከተሉት ናቸው
- mod_ssl SSLFIPS ሁነታን ከOpenSSL 3.0 ጋር ተኳሃኝ ያደርገዋል።
- Ab utility TLSv1.3 ን ይደግፋል (ይህንን ፕሮቶኮል ከሚደግፈው የኤስኤስኤል ቤተ-መጽሐፍት ጋር መገናኘት ያስፈልገዋል)።
- በ mod_md ውስጥ የMDCertificateAuthority መመሪያ ከአንድ በላይ የCA ስም እና ዩአርኤል ይፈቅዳል። አዲስ መመሪያዎች ተጨምረዋል፡ MDRetryDelay (የድጋሚ ሙከራ ጥያቄን ከመላክዎ በፊት መዘግየቱን ይገልጻል) እና MDRetryFailover (አማራጭ የምስክር ወረቀት ባለስልጣን ከመምረጥዎ በፊት ውድቀት ቢከሰት የድጋሚ ሙከራዎችን ብዛት ይገልጻል)። በ"ቁልፍ: እሴት" ቅርጸት ውስጥ እሴቶችን ሲያወጣ ለ"ራስ" ሁኔታ ድጋፍ ታክሏል። የTailsale ደህንነቱ የተጠበቀ የቪፒኤን አውታረመረብ ተጠቃሚዎች የምስክር ወረቀቶችን የማስተዳደር ችሎታ ተሰጥቷል።
- የ mod_http2 ሞጁል ጥቅም ላይ ካልዋለ እና ደህንነቱ ካልተጠበቀ ኮድ ተጠርጓል።
- mod_proxy የኋላ አውታረ መረብ ወደብ በምዝግብ ማስታወሻው ላይ በተጻፉ የስህተት መልዕክቶች ውስጥ መንጸባረቁን ያረጋግጣል።
- በMod_heartmonitor ውስጥ፣የHeartbeatMaxServers መለኪያ ዋጋ ከ0 ወደ 10 ተቀይሯል (10 የጋራ ማህደረ ትውስታ ቦታዎችን በማስጀመር)።
ምንጭ: opennet.ru