ProHoster > Blog > nouvèl sou entènèt > Liberasyon Apache 2.4.53 http sèvè ak eliminasyon frajilite danjere

Liberasyon Apache 2.4.53 http sèvè ak eliminasyon frajilite danjere

Apache HTTP sèvè 2.4.53 te lage, entwodwi 14 chanjman ak elimine 4 vilnerabilite:

  • CVE-2022-22720 - posiblite pou fè yon atak "HTTP Request Smuggling", ki pèmèt, lè w voye demann kliyan ki fèt espesyalman pou yo, rantre nan sa ki nan demann lòt itilizatè yo transmèt atravè mod_proxy (pa egzanp, ou ka reyalize ensèsyon kòd JavaScript move nan sesyon an nan yon lòt itilizatè nan sit la). Se pwoblèm nan ki te koze pa kite koneksyon fèk ap rantre louvri apre erè rive lè w ap trete yon kò demann envalid.
  • CVE-2022-23943 Yon debòde tanpon nan mod_sed modil la pèmèt sa ki nan memwa pil yo dwe ranplase ak done atakè kontwole.
  • CVE-2022-22721 Gen yon posib ekriti andeyò limit akòz yon debòde nonb antye relatif ki rive lè w ap pase yon kò demann ki pi gwo pase 350MB. Pwoblèm nan parèt sou sistèm 32-bit nan anviwònman yo ki valè LimitXMLRequestBody mete twò wo (pa default 1 MB, pou yon atak limit la dwe pi wo pase 350 MB).
  • CVE-2022-22719 se yon vilnerabilite nan mod_lua ki pèmèt lekti memwa o aza ak yon aksidan pwosesis lè w ap trete yon kò demann espesyalman fabrike. Pwoblèm lan te koze pa itilizasyon valè ki pa inisye nan kòd fonksyon r:parsebody.

Chanjman ki pi remakab ki pa sekirite yo se:

  • Nan mod_proxy, limit la sou kantite karaktè nan non travayè a (travayè) te ogmante. Te ajoute kapasite nan oaza configured timeouts pou backend la ak entèfas (pa egzanp, an koneksyon avèk yon travayè). Pou demann ki voye atravè websockets oswa metòd CONNECT la, tan delè a te chanje nan valè maksimòm ki tabli pou backend la ak entèfas.
  • Pwosesis ouvèti dosye DBM ak chaje chofè DBM la separe. Nan ka yon echèk, boutèy la kounye a montre enfòmasyon plis detay sou erè a ak chofè a.
  • mod_md te sispann trete demann nan /.well-known/acme-challenge/ sof si paramèt domèn yo te klèman pèmèt itilizasyon kalite verifikasyon 'http-01' la.
  • Mod_dav te fikse yon regresion ki te lakòz gwo konsomasyon memwa lè w ap okipe yon gwo kantite resous.
  • Te ajoute kapasite pou itilize bibliyotèk pcre2 (10.x) olye de pcre (8.x) pou trete ekspresyon regilye yo.
  • Sipò pou analiz anomali pou pwotokòl LDAP yo te ajoute pou mande filtè yo kòrèkteman ekran done lè w ap eseye fè atak sibstitisyon LDAP.
  • Nan mpm_event, yon enpas ki rive lè rekòmanse oswa depase limit MaxConnectionsPerChild sou sistèm ki chaje anpil yo te elimine.

Sous: opennet.ru

Add nouvo kòmantè