ProHoster > Блог > interretaj novaĵoj > Liberigo de Apache 2.4.53 http-servilo kun elimino de danĝeraj vundeblecoj

Liberigo de Apache 2.4.53 http-servilo kun elimino de danĝeraj vundeblecoj

La Apache HTTP-servilo 2.4.53 estis liberigita, enkondukante 14 ŝanĝojn kaj forigante 4 vundeblecojn:

  • CVE-2022-22720 - la ebleco fari atakon "HTTP Request Smuggling", kiu ebligas, sendante speciale desegnitajn klientajn petojn, kojni en la enhavon de petoj de aliaj uzantoj transdonitaj per mod_proxy (ekzemple, vi povas atingi la enmeto de malica JavaScript-kodo en la seancon de alia uzanto de la retejo). La problemo estas kaŭzita de lasado de envenantaj konektoj malfermitaj post kiam eraroj okazas dum prilaborado de nevalida petokorpo.
  • CVE-2022-23943 Bufera superfluo en la mod_sed-modulo permesas la enhavon de amasmemoro esti anstataŭita per atakanto-kontrolitaj datumoj.
  • CVE-2022-22721 Estas ebla eksterlima skribo pro entjera superfluo, kiu okazas kiam oni pasas peton pli grandan ol 350MB. La problemo aperas sur 32-bitaj sistemoj en kies agordoj la valoro LimitXMLRequestBody estas tro alta (defaŭlte 1 MB, por atako la limo devas esti pli alta ol 350 MB).
  • CVE-2022-22719 estas vundebleco en mod_lua, kiu permesas hazardajn memorajn legadojn kaj procezkraŝon dum prilaborado de speciale kreita petokorpo. La problemo estas kaŭzita de la uzo de nekomencigitaj valoroj en la funkciokodo r:parsebody.

La plej rimarkindaj ne-sekurecaj ŝanĝoj:

  • En mod_proxy, la limo de la nombro da signoj en la nomo de la laboristo (laboristo) estis pliigita. Aldonis la kapablon selekteme agordi tempodaŭrojn por la backend kaj fasado (ekzemple, lige kun laboristo). Por petoj senditaj per retejsockets aŭ la metodo CONNECT, la tempodaŭro estis ŝanĝita al la maksimuma valoro fiksita por la backend kaj fasado.
  • La pretigo de malfermado de DBM-dosieroj kaj ŝarĝo de la DBM-ŝoforo estis apartigita. En kazo de malsukceso, la protokolo nun montras pli detalajn informojn pri la eraro kaj la ŝoforo.
  • Mod_md ĉesis prilabori petojn al /.well-known/acme-challenge/ krom se la domajnaj agordoj eksplicite ebligis la uzon de la "http-01" konfirmotipo.
  • Mod_dav riparis regreson, kiu kaŭzis altan memorkonsumon dum pritraktado de grandaj kvantoj da rimedoj.
  • Aldonita la kapablo uzi la bibliotekon pcre2 (10.x) anstataŭ pcre (8.x) por prilaborado de regulaj esprimoj.
  • Subteno por anomalianalizo por la LDAP-protokolo estis aldonita por peti filtrilojn por ĝuste ekzameni datenojn kiam oni provas efektivigi LDAP-anstataŭajn atakojn.
  • En mpm_event, blokiĝo kiu okazas dum rekomencado aŭ superado de la MaxConnectionsPerChild limo sur tre ŝarĝitaj sistemoj estis eliminita.

fonto: opennet.ru

Aldoni komenton