ProHoster > Blogi > netin uutisia > Apache 2.4.54 http-palvelinjulkaisu, jossa haavoittuvuudet on korjattu

Apache 2.4.54 http-palvelinjulkaisu, jossa haavoittuvuudet on korjattu

Apache HTTP-palvelin 2.4.53 on julkaistu, ja se sisältää 19 muutosta ja poistaa 8 haavoittuvuutta:

  • CVE-2022-31813 on mod_proxyn haavoittuvuus, jonka avulla voit estää X-Forwarded-*-otsikoiden lähettämisen, jotka sisältävät tietoja IP-osoitteesta, josta alkuperäinen pyyntö tuli. Ongelmaa voidaan käyttää IP-osoitteisiin perustuvien pääsyrajoitusten ohittamiseen.
  • CVE-2022-30556 on mod_luan haavoittuvuus, joka sallii pääsyn varatun puskurin ulkopuolisiin tietoihin Lua-komentosarjojen r:wsread()-funktion manipuloinnin kautta.
  • CVE-2022-30522 – Palvelunesto (käytettävissä olevan muistin loppuminen), kun mod_sed-moduuli käsittelee tiettyjä tietoja.
  • CVE-2022-29404 on palvelunesto mod_luassa, jota hyödynnetään lähettämällä erityisesti muotoiltuja pyyntöjä Lua-käsittelijöille r:parsebody(0)-kutsulla.
  • CVE-2022-28615, CVE-2022-28614 – Palvelun estäminen tai pääsy prosessimuistissa oleviin tietoihin ap_strcmp_match()- ja ap_rwrite()-funktioiden virheiden vuoksi, mikä johtaa puskurin rajan ulkopuolisesta alueesta tapahtuvaan lukemiseen.
  • CVE-2022-28330 - Tietovuoto mod_isapi:n rajojen ulkopuolisista puskurialueista (ongelma ilmenee vain Windows-alustalla).
  • CVE-2022-26377 – mod_proxy_ajp-moduuli on altis HTTP-pyyntöjen salakuljetushyökkäyksille käyttöliittymä-taustajärjestelmiin, minkä ansiosta se voi salakuljettaa itsensä muiden käyttäjien pyyntöjen sisältöön, jotka käsitellään samassa säikeessä käyttöliittymän ja taustajärjestelmän välillä.

Merkittävimmät ei-turvallisuuteen liittyvät muutokset:

  • mod_ssl tekee SSLFIPS-tilan yhteensopivaksi OpenSSL 3.0:n kanssa.
  • Ab-apuohjelma tukee TLSv1.3:a (edellyttää linkitystä SSL-kirjastoon, joka tukee tätä protokollaa).
  • Mod_md:ssä MDCertificateAuthority-direktiivi sallii useamman kuin yhden CA-nimen ja URL-osoitteen. Uusia ohjeita on lisätty: MDRetryDelay (määrittää viiveen ennen uudelleenyrityspyynnön lähettämistä) ja MDRetryFailover (määrittää uudelleenyritysten määrän epäonnistuessa ennen vaihtoehtoisen varmentajan valitsemista). Lisätty tuki "auto"-tilalle tulostettaessa arvoja "avain: arvo" -muodossa. Tarjosi mahdollisuuden hallita Tailscalen suojatun VPN-verkon käyttäjien varmenteita.
  • Moduuli mod_http2 on puhdistettu käyttämättömästä ja vaarallisesta koodista.
  • mod_proxy varmistaa, että taustaverkkoportti näkyy lokiin kirjoitetuissa virheilmoituksissa.
  • Kohdassa mod_heartmonitor HeartbeatMaxServers-parametrin arvo on muutettu 0:sta 10:een (alustaa 10 jaettua muistipaikkaa).

Lähde: opennet.ru

Lisää kommentti