ProHoster > Π‘Π»ΠΎΠ³ > balita sa internet > Apache 2.4.54 http server release nga adunay mga kahuyangan nga naayo

Apache 2.4.54 http server release nga adunay mga kahuyangan nga naayo

Ang Apache 2.4.53 HTTP server release na-publish na, nga nagpaila sa 19 ka kausaban ug nag-ayo sa 8 ka mga kahuyangan:

  • Ang CVE-2022-31813 usa ka kahuyang sa mod_proxy nga makababag sa pagpadala sa X-Forwarded-* nga mga ulohan nga adunay impormasyon bahin sa IP address diin gikan ang orihinal nga hangyo. Ang problema mahimong magamit sa paglaktaw sa mga pagdili sa pag-access base sa mga adres sa IP.
  • Ang CVE-2022-30556 usa ka kahuyang sa mod_lua nga nagtugot sa pag-access sa datos sa gawas sa gigahin nga buffer pinaagi sa mga manipulasyon sa r:wsread() function sa Lua scripts.
  • CVE-2022-30522 - Pagdumili sa serbisyo (walay magamit nga panumduman) samtang nagproseso sa pipila ka datos pinaagi sa mod_sed.
  • CVE-2022-29404 - mod_lua nga pagdumili sa serbisyo nga gipahimuslan pinaagi sa pagpadala sa espesyal nga gihimo nga mga hangyo ngadto sa mga tigdumala sa Lua gamit ang r:parsebody(0) nga tawag.
  • CVE-2022-28615, CVE-2022-28614 - Pagdumili sa serbisyo o pag-access sa datos sa memorya sa proseso tungod sa mga sayup sa ap_strcmp_match() ug ap_rwrite() nga mga function, nga miresulta sa pagbasa gikan sa usa ka rehiyon gawas sa buffer boundary.
  • CVE-2022-28330 - Out-of-bounds information leak sa mod_isapi (ang problema makita ra sa Windows platform).
  • CVE-2022-26377 - Ang mod_proxy_ajp module dali nga maatake sa "HTTP Request Smuggling" nga mga pag-atake sa front-end-backend nga mga sistema nga nagtugot sa sulod sa mga hangyo sa ubang mga tiggamit nga masulod sa samang thread tali sa front-end ug back-end .

Ang labing inila nga dili-seguridad nga mga pagbag-o mao ang:

  • Ang mod_ssl naghimo sa SSLFIPS mode nga compatible sa OpenSSL 3.0.
  • Ang ab utility nagpatuman og suporta para sa TLSv1.3 (nagkinahanglan og pagbugkos sa usa ka SSL library nga nagsuporta niini nga protocol).
  • Sa mod_md, ang direktiba sa MDCertificateAuthority nagtugot sa labaw sa usa ka ngalan sa CA ug URL. Gidugang nga bag-ong mga direktiba: MDRetryDelay (naghubit sa paglangan sa wala pa ipadala ang usa ka hangyo pag-usab) ug MDRetryFailover (naghubit sa gidaghanon sa mga pagsulay pag-usab sa kaso sa kapakyasan sa dili pa mopili og alternatibong CA). Gidugang nga suporta alang sa "auto" nga estado kung gipakita ang mga kantidad sa "key: value" nga format. Gihatag ang abilidad sa pagdumala sa mga sertipiko alang sa Tailscale luwas nga mga tiggamit sa VPN.
  • Ang mod_http2 module gilimpyohan sa wala magamit ug dili luwas nga code.
  • Ang mod_proxy naghatag og pagpamalandong sa backend network port sa mga mensahe sa sayup nga gisulat sa log.
  • Sa mod_heartmonitor, ang bili sa parametro sa HeartbeatMaxServers giusab gikan sa 0 ngadto sa 10 (pagsugod sa 10 ka shared memory slots).

Source: opennet.ru

Idugang sa usa ka comment