ProHoster > blog > berita internet > Rilis server http Apache 2.4.54 dengan kerentanan diperbaiki

Rilis server http Apache 2.4.54 dengan kerentanan diperbaiki

Rilis server HTTP Apache 2.4.53 telah diterbitkan, yang memperkenalkan 19 perubahan dan memperbaiki 8 kerentanan:

  • CVE-2022-31813 adalah kerentanan di mod_proxy yang dapat memblokir pengiriman header X-Forwarded-* dengan informasi tentang alamat IP asal permintaan asli. Masalahnya dapat digunakan untuk melewati pembatasan akses berdasarkan alamat IP.
  • CVE-2022-30556 adalah kerentanan dalam mod_lua yang memungkinkan akses ke data di luar buffer yang dialokasikan melalui manipulasi dengan fungsi r:wsread() dalam skrip Lua.
  • CVE-2022-30522 - Penolakan layanan (memori habis) saat memproses data tertentu dengan mod_sed.
  • CVE-2022-29404 - mod_lua penolakan layanan dieksploitasi dengan mengirimkan permintaan yang dibuat khusus ke penangan Lua menggunakan panggilan r:parsebody(0).
  • CVE-2022-28615, CVE-2022-28614 - Penolakan layanan atau akses ke data dalam memori proses karena kesalahan pada fungsi ap_strcmp_match() dan ap_rwrite(), yang mengakibatkan pembacaan dari wilayah di luar batas buffer.
  • CVE-2022-28330 - Kebocoran informasi di luar batas di mod_isapi (masalah hanya muncul di platform Windows).
  • CVE-2022-26377 - Modul mod_proxy_ajp rentan terhadap serangan "Penyelundupan Permintaan HTTP" pada sistem front-end-backend yang memungkinkan konten permintaan pengguna lain disusupi di thread yang sama antara front-end dan back-end .

Perubahan non-keamanan yang paling menonjol adalah:

  • mod_ssl membuat mode SSLFIPS kompatibel dengan OpenSSL 3.0.
  • Utilitas ab mengimplementasikan dukungan untuk TLSv1.3 (memerlukan pengikatan ke perpustakaan SSL yang mendukung protokol ini).
  • Di mod_md, arahan MDCertificateAuthority mengizinkan lebih dari satu nama dan URL CA. Menambahkan arahan baru: MDRetryDelay (menentukan penundaan sebelum mengirim permintaan percobaan ulang) dan MDRetryFailover (menentukan jumlah percobaan ulang jika terjadi kegagalan sebelum memilih CA alternatif). Menambahkan dukungan untuk status "otomatis" saat menampilkan nilai dalam format "kunci: nilai". Memberikan kemampuan untuk mengelola sertifikat untuk pengguna VPN aman Tailscale.
  • Modul mod_http2 telah dibersihkan dari kode yang tidak digunakan dan tidak aman.
  • mod_proxy memberikan refleksi port jaringan backend dalam pesan kesalahan yang ditulis ke log.
  • Di mod_heartmonitor, nilai parameter HeartbeatMaxServers telah diubah dari 0 menjadi 10 (inisialisasi 10 slot memori bersama).

Sumber: opennet.ru

Tambah komentar