ProHoster > Blog > internet nyheder > Apache 2.4.54 http-serverudgivelse med sårbarheder rettet

Apache 2.4.54 http-serverudgivelse med sårbarheder rettet

Apache 2.4.53 HTTP-serverudgivelsen er blevet offentliggjort, som præsenterer 19 ændringer og rettet 8 sårbarheder:

  • CVE-2022-31813 er en sårbarhed i mod_proxy, der giver dig mulighed for at blokere afsendelsen af ​​X-Forwarded-* headere med information om den IP-adresse, som den oprindelige anmodning kom fra. Problemet kan bruges til at omgå adgangsbegrænsninger baseret på IP-adresser.
  • CVE-2022-30556 er en sårbarhed i mod_lua, der giver adgang til data uden for den tildelte buffer gennem manipulation af r:wsread()-funktionen i Lua-scripts.
  • CVE-2022-30522 – Denial of service (tilgængelig hukommelsesopbrug) ved behandling af visse data af mod_sed-modulet.
  • CVE-2022-29404 er et lammelsesangreb i mod_lua, der udnyttes ved at sende specielt udformede anmodninger til Lua-handlere ved hjælp af r:parsebody(0)-kaldet.
  • CVE-2022-28615, CVE-2022-28614 – Denial of service eller adgang til data i proceshukommelse på grund af fejl i funktionerne ap_strcmp_match() og ap_rwrite(), hvilket resulterer i en læsning fra et område uden for buffergrænsen.
  • CVE-2022-28330 - Informationslækage fra bufferområder uden for grænserne i mod_isapi (problemet opstår kun på Windows-platformen).
  • CVE-2022-26377 – Mod_proxy_ajp-modulet er modtageligt for HTTP Request Smugling-angreb på frontend-backend-systemer, hvilket giver det mulighed for at smugle sig selv ind i indholdet af andre brugeres anmodninger behandlet i den samme tråd mellem frontend og backend.

De mest bemærkelsesværdige ikke-sikkerhedsmæssige ændringer er:

  • mod_ssl gør SSLFIPS-tilstand kompatibel med OpenSSL 3.0.
  • Ab-værktøjet understøtter TLSv1.3 (kræver tilknytning til et SSL-bibliotek, der understøtter denne protokol).
  • I mod_md tillader MDCertificateAuthority-direktivet mere end ét CA-navn og URL. Nye direktiver er blevet tilføjet: MDRetryDelay (definerer forsinkelsen før afsendelse af en genforsøgsanmodning) og MDRetryFailover (definerer antallet af genforsøg i tilfælde af fejl, før der vælges en alternativ certificeringsmyndighed). Tilføjet understøttelse af "auto"-tilstanden ved udlæsning af værdier i formatet "nøgle: værdi". Giver mulighed for at administrere certifikater for brugere af Tailscales sikre VPN-netværk.
  • Mod_http2-modulet er blevet renset for ubrugt og usikker kode.
  • mod_proxy sikrer, at backend-netværksporten afspejles i fejlmeddelelser skrevet til loggen.
  • I mod_heartmonitor er værdien af ​​parameteren HeartbeatMaxServers blevet ændret fra 0 til 10 (initialisering af 10 delte hukommelsespladser).

Kilde: opennet.ru

Tilføj en kommentar