ProHoster > Π‘Π»ΠΎΠ³ > balita sa internet > Ang Apache 2.4.53 http nga pagpagawas sa server nga adunay peligro nga mga kahuyangan nga naayo

Ang Apache 2.4.53 http nga pagpagawas sa server nga adunay peligro nga mga kahuyangan nga naayo

Ang pagpagawas sa Apache HTTP Server 2.4.53 gipatik, nga nagpaila sa 14 nga mga pagbag-o ug nag-ayo sa 4 nga mga kahuyangan:

  • CVE-2022-22720 - ang posibilidad sa paghimo sa usa ka HTTP Request Smuggling nga pag-atake, nga nagtugot, pinaagi sa pagpadala sa espesyal nga gidisenyo nga mga hangyo sa kliyente, sa pag-wedge ngadto sa sulod sa mga hangyo sa ubang mga tiggamit nga gipadala pinaagi sa mod_proxy (pananglitan, mahimo nimong makab-ot ang pagpuli sa malisyoso. JavaScript code ngadto sa sesyon sa laing user sa site). Ang problema tungod sa pagbiya sa bukas nga umaabot nga mga koneksyon human makasugat og mga kasaypanan samtang nagproseso sa usa ka dili balido nga hangyo nga lawas.
  • CVE-2022-23943 - Usa ka buffer overflow sa mod_sed module nga nagtugot sa pag-overwrite sa mga sulod sa heap memory gamit ang data nga kontrolado sa tig-atake.
  • CVE-2022-22721 - Isulat sa gawas sa mga utlanan buffer tungod sa usa ka integer overflow nga mahitabo sa diha nga moagi sa usa ka request body mas dako pa kay sa 350MB. Ang problema nagpakita sa kaugalingon sa 32-bit nga mga sistema sa mga setting diin ang LimitXMLRequestBody nga kantidad gitakda nga taas kaayo (sa default 1 MB, alang sa usa ka pag-atake ang limitasyon kinahanglan nga mas taas kaysa 350 MB).
  • Ang CVE-2022-22719 usa ka pagkahuyang sa mod_lua nga nagtugot sa pagbasa sa mga random nga lugar sa panumduman ug pag-crash sa proseso kung nagproseso sa usa ka espesyal nga hinimo nga lawas sa hangyo. Ang problema kay tungod sa paggamit sa mga uninitialized values ​​sa r:parsebody function code.

Ang labing inila nga dili-seguridad nga mga pagbag-o mao ang:

  • Sa mod_proxy, ang limitasyon sa gidaghanon sa mga karakter sa ngalan sa handler (trabahador) nadugangan. Gidugang ang abilidad nga pilion nga i-configure ang mga timeout para sa backend ug frontend (pananglitan, may kalabotan sa usa ka trabahante). Para sa mga hangyo nga gipadala pinaagi sa websockets o sa CONNECT nga pamaagi, ang timeout giusab ngadto sa kinatas-ang bili nga gitakda para sa backend ug frontend.
  • Gibulag nga pagdumala sa pag-abli sa mga file sa DBM ug pagkarga sa drayber sa DBM. Kung adunay pagkahagsa, ang log karon nagpakita sa mas detalyado nga kasayuran bahin sa sayup ug ang drayber.
  • Ang mod_md mihunong sa pagproseso sa mga hangyo ngadto sa /.well-known/acme-challenge/ gawas kon ang mga setting sa domain dayag nga nakapahimo sa paggamit sa 'http-01' nga matang sa hagit.
  • Ang mod_dav nag-ayo sa usa ka pagbag-o nga hinungdan sa taas nga konsumo sa memorya sa pagproseso sa daghang mga kapanguhaan.
  • Gidugang ang abilidad sa paggamit sa pcre2 (10.x) library imbes sa pcre (8.x) para sa pagproseso sa regular nga mga ekspresyon.
  • Gidugang ang suporta alang sa pagtuki sa anomaliya sa LDAP sa mga pagsala sa pagpangutana aron sa hustong pag-screen sa datos sa dihang mosulay sa paghimo sa mga pag-atake sa pagpuli sa LDAP.
  • Sa mpm_event, usa ka deadlock nga mahitabo sa dihang mag-restart o molapas sa MaxConnectionsPerChild nga limitasyon sa mga sistema nga daghan kaayog load naayo na.

Source: opennet.ru

Idugang sa usa ka comment