انتشار سرور HTTP آپاچی 2.4.53 منتشر شده است که 19 تغییر را معرفی می کند و 8 آسیب پذیری را برطرف می کند:
- CVE-2022-31813 یک آسیب پذیری در mod_proxy است که می تواند ارسال هدرهای X-Forwarded-* را با اطلاعات مربوط به آدرس IP که درخواست اصلی از آن گرفته شده است، مسدود کند. از این مشکل می توان برای دور زدن محدودیت های دسترسی بر اساس آدرس های IP استفاده کرد.
- CVE-2022-30556 یک آسیب پذیری در mod_lua است که امکان دسترسی به داده های خارج از بافر اختصاص داده شده را از طریق دستکاری تابع r:wsread() در اسکریپت های Lua می دهد.
- CVE-2022-30522 - انکار سرویس (خارج از حافظه موجود) در حین پردازش داده های خاص توسط mod_sed.
- CVE-2022-29404 - mod_lua انکار سرویس با ارسال درخواستهای طراحیشده ویژه به کنترلکنندههای Lua با استفاده از تماس r:parsebody(0) مورد سوء استفاده قرار میگیرد.
- CVE-2022-28615, CVE-2022-28614 - محرومیت از سرویس یا دسترسی به داده ها در حافظه پردازش به دلیل خطا در توابع ap_strcmp_match() و ap_rwrite() که منجر به خواندن از ناحیه ای خارج از مرز بافر می شود.
- CVE-2022-28330 - نشت اطلاعات خارج از محدوده در mod_isapi (مشکل فقط در پلتفرم ویندوز ظاهر می شود).
- CVE-2022-26377 - ماژول mod_proxy_ajp در معرض حملات «قاچاق درخواست HTTP» در سیستمهای جلویی-پشتی است که اجازه میدهد محتوای درخواستهای کاربران دیگر که در همان رشته پردازش میشوند بین جلویی و بکاند گوه شوند. -که در.
بارزترین تغییرات غیر امنیتی عبارتند از:
- mod_ssl حالت SSLFIPS را با OpenSSL 3.0 سازگار می کند.
- ابزار ab پشتیبانی از TLSv1.3 را پیاده سازی می کند (نیاز به اتصال به یک کتابخانه SSL است که از این پروتکل پشتیبانی می کند).
- در mod_md، دستورالعمل MDCertificateAuthority به بیش از یک نام و URL CA اجازه می دهد. دستورالعملهای جدید اضافه شده: MDRetryDelay (تأخیر قبل از ارسال درخواست امتحان مجدد را تعریف میکند) و MDRetryFailover (تعداد تلاشهای مجدد را در صورت شکست قبل از انتخاب یک CA جایگزین تعیین میکند). پشتیبانی از حالت "خودکار" هنگام نمایش مقادیر در قالب "key: value" اضافه شده است. امکان مدیریت گواهیها را برای کاربران VPN ایمن Tailscale فراهم میکند.
- ماژول mod_http2 از کدهای استفاده نشده و ناامن پاک شده است.
- mod_proxy انعکاس پورت شبکه باطن را در پیام های خطای نوشته شده در گزارش ارائه می دهد.
- در mod_heartmonitor، مقدار پارامتر HeartbeatMaxServers از 0 به 10 تغییر کرده است (راه اندازی 10 اسلات حافظه مشترک).
منبع: opennet.ru