ProHoster > Blog > internet xəbərləri > Təhlükəli zəifliklər düzəldilmiş Apache 2.4.53 http server buraxılışı

Təhlükəli zəifliklər düzəldilmiş Apache 2.4.53 http server buraxılışı

2.4.53 dəyişikliyi təqdim edən və 14 zəifliyi aradan qaldıran Apache HTTP Server 4 buraxılışı nəşr olundu:

  • CVE-2022-22720 - xüsusi hazırlanmış müştəri sorğularını göndərməklə mod_proxy vasitəsilə ötürülən digər istifadəçilərin sorğularının məzmununa daxil olmağa imkan verən HTTP Sorğu Qaçaqmalçılığı hücumunun həyata keçirilməsi imkanı (məsələn, zərərli proqramların əvəzlənməsinə nail ola bilərsiniz. JavaScript kodunu saytın başqa bir istifadəçisinin sessiyasına daxil edin). Problem etibarsız sorğu orqanını emal edərkən xətalarla qarşılaşdıqdan sonra daxil olan əlaqələri açıq buraxmaqdan qaynaqlanır.
  • CVE-2022-23943 - Təcavüzkar tərəfindən idarə olunan məlumatlarla yığın yaddaşın məzmununun üzərinə yazmağa imkan verən mod_sed modulunda bufer daşması.
  • CVE-2022-22721 - 350MB-dan böyük sorğu gövdəsini ötürərkən baş verən tam ədəd daşması səbəbindən hüdudlardan kənar yazın. Problem parametrlərində LimitXMLRequestBody dəyəri çox yüksək təyin edilmiş 32-bit sistemlərdə özünü göstərir (defolt olaraq 1 MB, hücum üçün limit 350 MB-dan yüksək olmalıdır).
  • CVE-2022-22719 mod_lua-da təsadüfi yaddaş sahələrini oxumağa və xüsusi hazırlanmış sorğu orqanını emal edərkən prosesi pozmağa imkan verən boşluqdur. Problem r: parsebody funksiya kodunda başlamamış dəyərlərin istifadəsi ilə əlaqədardır.

Ən diqqətəlayiq qeyri-təhlükəsizlik dəyişiklikləri bunlardır:

  • mod_proxy-də işləyicinin (işçinin) adındakı simvolların sayına məhdudiyyət artırıldı. Backend və frontend (məsələn, işçi ilə bağlı) üçün fasilələri seçici şəkildə konfiqurasiya etmək imkanı əlavə edildi. Veb-soketlər və ya CONNECT metodu ilə göndərilən sorğular üçün vaxt aşımı arxa və ön hissə üçün təyin edilmiş maksimum dəyərə dəyişdirildi.
  • DBM fayllarının açılmasının və DBM sürücüsünün yüklənməsinin ayrı idarə edilməsi. Qəza halında, jurnal indi xəta və sürücü haqqında daha ətraflı məlumatı göstərir.
  • Domen parametrləri 'http-01' çağırış növünün istifadəsinə açıq şəkildə imkan vermədiyi halda mod_md /.well-known/acme-challenge/ ünvanına sorğuların işlənməsini dayandırdı.
  • mod_dav çox sayda resurs işləyərkən yüksək yaddaş istehlakına səbəb olan reqressiyanı düzəltdi.
  • Normal ifadələrin işlənməsi üçün pcre (2.x) əvəzinə pcre10 (8.x) kitabxanasından istifadə etmək imkanı əlavə edildi.
  • LDAP əvəzetmə hücumlarına cəhd edərkən məlumatları düzgün yoxlamaq üçün sorğu filtrlərinə LDAP anomaliya analizi dəstəyi əlavə edilib.
  • mpm_event-də yüksək yüklənmiş sistemlərdə MaxConnectionsPerChild limitini yenidən başladıqda və ya aşdıqda yaranan dalana dirəndi.

Mənbə: opennet.ru

Добавить комментарий