Apache HTTP server 2.4.53 buraxıldı, 19 dəyişiklik təqdim etdi və 8 zəifliyi aradan qaldırdı:
- CVE-2022-31813 mod_proxy-dəki zəiflikdir ki, bu da sizə X-Forwarded-* başlıqlarının orijinal sorğunun gəldiyi IP ünvanı haqqında məlumatın göndərilməsini bloklamağa imkan verir. Problem IP ünvanlarına əsaslanan giriş məhdudiyyətlərini yan keçmək üçün istifadə edilə bilər.
- CVE-2022-30556, Lua skriptlərində r:wsread() funksiyasının manipulyasiyası yolu ilə ayrılmış buferdən kənar məlumatlara daxil olmağa imkan verən mod_lua-da zəiflikdir.
- CVE-2022-30522 – Mod_sed modulu tərəfindən müəyyən məlumatların işlənməsi zamanı xidmətdən imtina (mövcud yaddaş tükənməsi).
- CVE-2022-29404, r:parsebody(0) çağırışından istifadə edərək Lua işləyicilərinə xüsusi hazırlanmış sorğular göndərməklə istifadə edilən mod_lua-da xidmətdən imtinadır.
- CVE-2022-28615, CVE-2022-28614 – ap_strcmp_match() və ap_rwrite() funksiyalarındakı xətalara görə xidmətdən və ya proses yaddaşındakı məlumatlara girişdən imtina, bufer sərhədindən kənar ərazidən oxunma ilə nəticələnir.
- CVE-2022-28330 - mod_isapi-də sərhəddən kənar bufer sahələrindən məlumat sızması (məsələ yalnız Windows platformasında baş verir).
- CVE-2022-26377 – mod_proxy_ajp modulu frontend-backend sistemlərində HTTP Sorğu Qaçaqmalçılığı hücumlarına qarşı həssasdır, bu da ona digər istifadəçilərin frontend və backend arasında eyni başlıqda işlənmiş sorğularının məzmununa qaçmağa imkan verir.
Ən diqqətəlayiq qeyri-təhlükəsizlik dəyişiklikləri bunlardır:
- mod_ssl SSLFIPS rejimini OpenSSL 3.0 ilə uyğun edir.
- Ab yardım proqramı TLSv1.3-ü dəstəkləyir (bu protokolu dəstəkləyən SSL kitabxanası ilə əlaqəni tələb edir).
- mod_md-də MDCertificateAuthority direktivi birdən çox CA adına və URL-yə icazə verir. Yeni direktivlər əlavə edildi: MDRetryDelay (yenidən cəhd sorğusunu göndərməzdən əvvəl gecikməni müəyyənləşdirir) və MDRetryFailover (alternativ sertifikatlaşdırma orqanını seçməzdən əvvəl uğursuzluq halında təkrar cəhdlərin sayını müəyyən edir). Dəyərləri "açar: dəyər" formatında çıxararkən "avtomatik" vəziyyətə dəstək əlavə edildi. Tailscale təhlükəsiz VPN şəbəkəsinin istifadəçiləri üçün sertifikatları idarə etmək imkanı təmin edilmişdir.
- Mod_http2 modulu istifadə olunmamış və təhlükəli koddan təmizlənib.
- mod_proxy arxa şəbəkə portunun loga yazılmış səhv mesajlarında əks olunmasını təmin edir.
- mod_heartmonitor-da HeartbeatMaxServers parametrinin dəyəri 0-dan 10-a dəyişdirilib (10 paylaşılan yaddaş yuvası işə salınır).
Mənbə: opennet.ru