ProHoster > blog > newyddion rhyngrwyd > Apache 2.4.54 http rhyddhau gweinydd gyda gwendidau sefydlog

Apache 2.4.54 http rhyddhau gweinydd gyda gwendidau sefydlog

Mae gweinydd Apache HTTP 2.4.53 wedi'i ryddhau, gan gyflwyno 19 newid a dileu 8 bregusrwydd:

  • Mae CVE-2022-31813 yn agored i niwed yn mod_proxy sy'n eich galluogi i rwystro anfon penawdau X-Forwarded-* gyda gwybodaeth am y cyfeiriad IP y daeth y cais gwreiddiol ohono. Gellir defnyddio'r broblem i osgoi cyfyngiadau mynediad yn seiliedig ar gyfeiriadau IP.
  • Mae CVE-2022-30556 yn agored i niwed yn mod_lua sy'n caniatΓ‘u mynediad i ddata y tu allan i'r byffer a neilltuwyd trwy drin y swyddogaeth r:wsread() mewn sgriptiau Lua.
  • CVE-2022-30522 - Gwrthod gwasanaeth (lludded cof sydd ar gael) wrth brosesu data penodol gan y modiwl mod_sed.
  • Mae CVE-2022-29404 yn wadiad gwasanaeth yn mod_lua sy'n cael ei ecsbloetio trwy anfon ceisiadau a luniwyd yn arbennig at drinwyr Lua gan ddefnyddio'r alwad r: parsebody(0).
  • CVE-2022-28615, CVE-2022-28614 - Gwrthod gwasanaeth neu fynediad at ddata yn y cof proses oherwydd gwallau yn y swyddogaethau ap_strcmp_match() ac ap_rwrite(), gan arwain at ddarlleniad o ardal y tu hwnt i'r ffin glustogi.
  • CVE-2022-28330 - Gwybodaeth yn gollwng o ardaloedd clustogi y tu allan i ffiniau yn mod_isapi (dim ond ar blatfform Windows y mae'r mater yn digwydd).
  • CVE-2022-26377 - Mae'r modiwl mod_proxy_ajp yn agored i ymosodiadau Smyglo Cais HTTP ar systemau pen blaen, sy'n caniatΓ‘u iddo smyglo ei hun i gynnwys ceisiadau defnyddwyr eraill a brosesir yn yr un edefyn rhwng y blaen a'r pen Γ΄l.

Y newidiadau mwyaf nodedig nad ydynt yn ymwneud Γ’ diogelwch yw:

  • mod_ssl yn gwneud y modd SSLFIPS yn gydnaws ag OpenSSL 3.0.
  • Mae'r ab utility yn cefnogi TLSv1.3 (mae angen cysylltu Γ’ llyfrgell SSL sy'n cefnogi'r protocol hwn).
  • Yn mod_md, mae cyfarwyddeb MDCertificateAuthority yn caniatΓ‘u mwy nag un enw CA ac URL. Mae cyfarwyddebau newydd wedi'u hychwanegu: MDRetryDelay (sy'n diffinio'r oedi cyn anfon cais arall) ac MDRetryFailover (sy'n diffinio nifer yr ailgeisiadau rhag ofn y bydd methiant cyn dewis awdurdod ardystio amgen). Ychwanegwyd cefnogaeth ar gyfer y cyflwr "auto" wrth allbynnu gwerthoedd yn y fformat "key: value". Wedi darparu'r gallu i reoli tystysgrifau ar gyfer defnyddwyr rhwydwaith VPN diogel Tailscale.
  • Mae'r modiwl mod_http2 wedi'i lanhau o god nas defnyddiwyd ac anniogel.
  • mod_proxy yn sicrhau bod y porthladd rhwydwaith backend yn cael ei adlewyrchu mewn negeseuon gwall a ysgrifennwyd i'r log.
  • Yn mod_heartmonitor, mae gwerth paramedr HeartbeatMaxServers wedi'i newid o 0 i 10 (gan gychwyn 10 slot cof a rennir).

Ffynhonnell: opennet.ru

Ychwanegu sylw