ProHoster > Блог > internet vijesti > Apache 2.4.54 http server izdanje sa popravljenim ranjivostima

Apache 2.4.54 http server izdanje sa popravljenim ranjivostima

Objavljen je Apache HTTP server 2.4.53 koji uvodi 19 promjena i eliminira 8 ranjivosti:

  • CVE-2022-31813 je ranjivost u mod_proxy koja vam omogućava da blokirate slanje X-Forwarded-* zaglavlja s informacijama o IP adresi sa koje je došao originalni zahtjev. Problem se može koristiti za zaobilaženje ograničenja pristupa na osnovu IP adresa.
  • CVE-2022-30556 je ranjivost u mod_lua koja omogućava pristup podacima izvan dodijeljenog bafera kroz manipulaciju funkcijom r:wsread() u Lua skriptama.
  • CVE-2022-30522 – Uskraćivanje usluge (iscrpljenost raspoložive memorije) prilikom obrade određenih podataka od strane mod_sed modula.
  • CVE-2022-29404 je uskraćivanje usluge u mod_lua koji se iskorištava slanjem posebno kreiranih zahtjeva Lua rukovaocima pomoću poziva r:parsebody(0).
  • CVE-2022-28615, CVE-2022-28614 – Uskraćivanje usluge ili pristup podacima u memoriji procesa zbog grešaka u funkcijama ap_strcmp_match() i ap_rwrite(), što rezultira čitanjem iz područja izvan granice međuspremnika.
  • CVE-2022-28330 - Curenje informacija iz područja bafera izvan granica u mod_isapi (problem se javlja samo na Windows platformi).
  • CVE-2022-26377 – Mod_proxy_ajp modul je podložan napadima krijumčarenja HTTP zahteva na frontend-backend sisteme, što mu omogućava da se prokrijumčari u sadržaj zahteva drugih korisnika koji se obrađuju u istoj niti između frontend-a i backend-a.

Najznačajnije promjene koje nisu vezane za sigurnost su:

  • mod_ssl čini SSLFIPS način kompatibilnim sa OpenSSL 3.0.
  • Ab uslužni program podržava TLSv1.3 (zahteva povezivanje sa SSL bibliotekom koja podržava ovaj protokol).
  • U mod_md, MDCertificateAuthority direktiva dozvoljava više od jednog CA imena i URL-a. Dodane su nove direktive: MDRetryDelay (definira kašnjenje prije slanja zahtjeva za ponovni pokušaj) i MDRetryFailover (definira broj ponovnih pokušaja u slučaju neuspjeha prije odabira alternativnog tijela za sertifikaciju). Dodata podrška za "auto" stanje kada se izlaze vrijednosti u formatu "ključ: vrijednost". Pruža mogućnost upravljanja certifikatima za korisnike Tailscale sigurne VPN mreže.
  • Mod_http2 modul je očišćen od nekorištenog i nesigurnog koda.
  • mod_proxy osigurava da se pozadinski mrežni port odražava u porukama o grešci upisanim u dnevnik.
  • U mod_heartmonitor, vrijednost parametra HeartbeatMaxServers je promijenjena sa 0 na 10 (inicijaliziranje 10 dijeljenih memorijskih slotova).

izvor: opennet.ru

Dodajte komentar