ProHoster > Блог > internet vijesti > Apache 2.4.53 http server izdanje sa ispravljenim opasnim ranjivostima

Apache 2.4.53 http server izdanje sa ispravljenim opasnim ranjivostima

Objavljeno je izdanje Apache HTTP servera 2.4.53 koje uvodi 14 izmjena i popravlja 4 ranjivosti:

  • CVE-2022-22720 - mogućnost izvođenja HTTP napada krijumčarenja zahtjeva, koji omogućava da se slanjem posebno dizajniranih zahtjeva klijenta uvuče u sadržaj zahtjeva drugih korisnika koji se prenose putem mod_proxy (na primjer, možete postići zamjenu zlonamjernih JavaScript kod u sesiju drugog korisnika stranice). Problem je uzrokovan ostavljanjem otvorenih dolaznih veza nakon što su naišle na greške prilikom obrade nevažećeg tijela zahtjeva.
  • CVE-2022-23943 - Prelivanje bafera u modulu mod_sed koji omogućava prepisivanje sadržaja heap memorije podacima koje kontroliše napadač.
  • CVE-2022-22721 - Zapisivanje izvan granica zbog prekoračenja cijelog broja do kojeg dolazi prilikom prosljeđivanja tijela zahtjeva većeg od 350 MB. Problem se manifestuje na 32-bitnim sistemima u čijim je postavkama vrijednost LimitXMLRequestBody postavljena previsoko (podrazumevano 1 MB, za napad ograničenje mora biti veće od 350 MB).
  • CVE-2022-22719 je ranjivost u mod_lua koja omogućava čitanje nasumičnih memorijskih područja i rušenje procesa prilikom obrade posebno kreiranog tijela zahtjeva. Problem je uzrokovan upotrebom neinicijaliziranih vrijednosti u kodu funkcije r:parsebody.

Najznačajnije promjene koje nisu vezane za sigurnost su:

  • U mod_proxy, ograničenje broja znakova u imenu rukovaoca (radnika) je povećano. Dodata je mogućnost selektivnog konfigurisanja timeouta za backend i frontend (na primjer, u odnosu na radnika). Za zahtjeve koji se šalju putem websocketa ili metode CONNECT, timeout je promijenjen na maksimalnu vrijednost postavljenu za backend i frontend.
  • Odvojeno rukovanje otvaranjem DBM fajlova i učitavanjem DBM drajvera. U slučaju pada, dnevnik sada prikazuje detaljnije informacije o grešci i upravljačkom programu.
  • mod_md je prestao da obrađuje zahtjeve za /.well-known/acme-challenge/ osim ako postavke domene eksplicitno nisu omogućile korištenje tipa izazova 'http-01'.
  • mod_dav je popravio regresiju koja je uzrokovala veliku potrošnju memorije prilikom obrade velikog broja resursa.
  • Dodata mogućnost korištenja pcre2 (10.x) biblioteke umjesto pcre (8.x) za obradu regularnih izraza.
  • Podrška za analizu LDAP anomalija dodana je filterima upita za ispravan pregled podataka prilikom pokušaja napada zamjene LDAP-a.
  • U mpm_event, zastoj koji se javlja prilikom ponovnog pokretanja ili prekoračenja ograničenja MaxConnectionsPerChild na visoko opterećenim sistemima je popravljen.

izvor: opennet.ru

Dodajte komentar