ProHoster > Blog > Interneteko albisteak > Apache 2.4.53 http zerbitzaria kaleratzea ahultasun arriskutsuak ezabatuz

Apache 2.4.53 http zerbitzaria kaleratzea ahultasun arriskutsuak ezabatuz

Apache HTTP zerbitzaria 2.4.53 kaleratu da, 14 aldaketa sartuz eta 4 ahultasun ezabatuz:

  • CVE-2022-22720 - "HTTP Request Smuggling" erasoa egiteko aukera, eta horri esker, bereziki diseinatutako bezero-eskaerak bidaliz, mod_proxy bidez transmititutako beste erabiltzaile batzuen eskaeren edukietan ziria (adibidez, lor dezakezu. JavaScript kodea gaiztoa txertatzea guneko beste erabiltzaile baten saioan). Arazoa sarrerako konexioak irekita uzteak sortzen du eskaeraren gorputz baliogabe bat prozesatzen ari zarenean erroreak gertatu ondoren.
  • CVE-2022-23943 mod_sed moduluko buffer gainezkatzeari esker, pilako memoriaren edukia erasotzaileak kontrolatutako datuekin gainidaztea ahalbidetzen du.
  • CVE-2022-22721 350 MB baino handiagoa den eskaera-gorputza pasatzen denean gertatzen den zenbaki osoen gainezkatzearen ondorioz, mugaz kanpoko idazketa bat egon daiteke. Arazoa 32 biteko sistemetan agertzen da LimitXMLRequestBody balioa altuegia ezarrita dagoen ezarpenetan (lehenespenez 1 MB, eraso baterako muga 350 MB baino handiagoa izan behar da).
  • CVE-2022-22719 mod_lua-ko ahultasun bat da, ausazko memoria irakurketak eta prozesu hutsegite bat ahalbidetzen duena bereziki landutako eskaera-gorputza prozesatzen denean. Arazoa r:parsebody funtzioaren kodean hasieratu gabeko balioak erabiltzeak eragiten du.

Segurtasunaz kanpoko aldaketa nabarmenenak hauek dira:

  • Mod_proxy-n, langilearen (langilearen) izenean karaktere kopuruaren muga handitu da. Backend eta frontend-erako denbora-muga selektiboak konfiguratzeko gaitasuna gehitu da (adibidez, langile batekin lotuta). Websocket edo CONNECT metodoaren bidez bidalitako eskaeretarako, denbora-muga denbora backend eta frontend-erako ezarritako gehienezko baliora aldatu da.
  • DBM fitxategiak irekitzeko eta DBM kontrolatzailea kargatzeko prozesatzea bereizi da. Hutsik gertatuz gero, erregistroak erroreari eta kontrolatzaileari buruzko informazio zehatzagoa erakusten du.
  • mod_md-k /.well-known/acme-challenge/-rako eskaerak prozesatzeari utzi dio, domeinuaren ezarpenek 'http-01' egiaztapen-mota erabiltzea esplizituki gaitu ezean.
  • Mod_dav-ek erregresio bat konpondu du, memoria-kontsumo handia eragiten zuen baliabide ugari maneiatzen zirenean.
  • Adierazpen erregularrak prozesatzeko pcre2 (10.x) liburutegia pcre (8.x) ordez erabiltzeko gaitasuna gehitu da.
  • LDAP protokoloaren anomaliak aztertzeko euskarria gehitu da LDAP ordezkapen-erasoak egiten saiatzean datuak behar bezala pantailatzeko iragazkiak eskatzeko.
  • Mpm_event-en, asko kargatutako sistemetan MaxConnectionsPerChild muga gainditzean gertatzen den blokeo bat ezabatu da.

Iturria: opennet.ru

Gehitu iruzkin berria