ProHoster > وبلاگ > اخبار اینترنتی > آپاچی 2.4.54 سرور http با آسیب‌پذیری رفع شد

آپاچی 2.4.54 سرور http با آسیب‌پذیری رفع شد

انتشار سرور HTTP آپاچی 2.4.53 منتشر شده است که 19 تغییر را معرفی می کند و 8 آسیب پذیری را برطرف می کند:

  • CVE-2022-31813 یک آسیب پذیری در mod_proxy است که می تواند ارسال هدرهای X-Forwarded-* را با اطلاعات مربوط به آدرس IP که درخواست اصلی از آن گرفته شده است، مسدود کند. از این مشکل می توان برای دور زدن محدودیت های دسترسی بر اساس آدرس های IP استفاده کرد.
  • CVE-2022-30556 یک آسیب پذیری در mod_lua است که امکان دسترسی به داده های خارج از بافر اختصاص داده شده را از طریق دستکاری تابع r:wsread() در اسکریپت های Lua می دهد.
  • CVE-2022-30522 - انکار سرویس (خارج از حافظه موجود) در حین پردازش داده های خاص توسط mod_sed.
  • CVE-2022-29404 - mod_lua انکار سرویس با ارسال درخواست‌های طراحی‌شده ویژه به کنترل‌کننده‌های Lua با استفاده از تماس r:parsebody(0) مورد سوء استفاده قرار می‌گیرد.
  • CVE-2022-28615, CVE-2022-28614 - محرومیت از سرویس یا دسترسی به داده ها در حافظه پردازش به دلیل خطا در توابع ap_strcmp_match() و ap_rwrite() که منجر به خواندن از ناحیه ای خارج از مرز بافر می شود.
  • CVE-2022-28330 - نشت اطلاعات خارج از محدوده در mod_isapi (مشکل فقط در پلتفرم ویندوز ظاهر می شود).
  • CVE-2022-26377 - ماژول mod_proxy_ajp در معرض حملات «قاچاق درخواست HTTP» در سیستم‌های جلویی-پشتی است که اجازه می‌دهد محتوای درخواست‌های کاربران دیگر که در همان رشته پردازش می‌شوند بین جلویی و بک‌اند گوه شوند. -که در.

بارزترین تغییرات غیر امنیتی عبارتند از:

  • mod_ssl حالت SSLFIPS را با OpenSSL 3.0 سازگار می کند.
  • ابزار ab پشتیبانی از TLSv1.3 را پیاده سازی می کند (نیاز به اتصال به یک کتابخانه SSL است که از این پروتکل پشتیبانی می کند).
  • در mod_md، دستورالعمل MDCertificateAuthority به بیش از یک نام و URL CA اجازه می دهد. دستورالعمل‌های جدید اضافه شده: MDRetryDelay (تأخیر قبل از ارسال درخواست امتحان مجدد را تعریف می‌کند) و MDRetryFailover (تعداد تلاش‌های مجدد را در صورت شکست قبل از انتخاب یک CA جایگزین تعیین می‌کند). پشتیبانی از حالت "خودکار" هنگام نمایش مقادیر در قالب "key: value" اضافه شده است. امکان مدیریت گواهی‌ها را برای کاربران VPN ایمن Tailscale فراهم می‌کند.
  • ماژول mod_http2 از کدهای استفاده نشده و ناامن پاک شده است.
  • mod_proxy انعکاس پورت شبکه باطن را در پیام های خطای نوشته شده در گزارش ارائه می دهد.
  • در mod_heartmonitor، مقدار پارامتر HeartbeatMaxServers از 0 به 10 تغییر کرده است (راه اندازی 10 اسلات حافظه مشترک).

منبع: opennet.ru

اضافه کردن نظر