ProHoster > Π‘Π»ΠΎΠ³ > warta internet > Rilis server http Apache 2.4.53 kanthi kerentanan mbebayani tetep

Rilis server http Apache 2.4.53 kanthi kerentanan mbebayani tetep

Rilis Apache HTTP Server 2.4.53 wis diterbitake, sing ngenalake 14 owah-owahan lan ndandani 4 kerentanan:

  • CVE-2022-22720 - kamungkinan nindakake serangan Penyelundupan Permintaan HTTP, sing ngidini, kanthi ngirim panjalukan klien sing dirancang khusus, kanggo nyepetake isi panjaluk pangguna liyane sing dikirim liwat mod_proxy (contone, sampeyan bisa entuk substitusi saka angkoro. Kode JavaScript menyang sesi pangguna liyane ing situs kasebut). Masalah kasebut disebabake dening ninggalake sambungan mlebu sing mbukak sawise nemoni kesalahan nalika ngolah badan panjaluk sing ora bener.
  • CVE-2022-23943 - Kebanjiran buffer ing modul mod_sed sing ngidini nimpa isi memori tumpukan karo data sing dikontrol penyerang.
  • CVE-2022-22721 - Tulis metu saka wates amarga overflow integer sing kedadeyan nalika ngliwati badan panjalukan sing luwih gedhe tinimbang 350MB. Masalah kasebut katon ing sistem 32-dicokot ing setelan sing Nilai LimitXMLRequestBody disetel dhuwur banget (kanthi standar 1 MB, kanggo serangan watesan kudu luwih dhuwur tinimbang 350 MB).
  • CVE-2022-22719 minangka kerentanan ing mod_lua sing ngidini maca wilayah memori acak lan nabrak proses nalika ngolah badan panyuwunan sing digawe khusus. Masalah kasebut disebabake nggunakake nilai uninitialized ing r: kode fungsi parsebody.

Owah-owahan non-keamanan sing paling penting yaiku:

  • Ing mod_proxy, watesan jumlah karakter ing jeneng pawang (pekerja) wis tambah. Nambahake kemampuan kanggo selektif ngatur wektu entek kanggo backend lan frontend (contone, ing hubungan kanggo buruh). Kanggo panjalukan sing dikirim liwat websockets utawa cara CONNECT, wektu entek wis diganti dadi nilai maksimum sing disetel kanggo backend lan frontend.
  • Penanganan kapisah kanggo mbukak file DBM lan mbukak driver DBM. Yen ana kacilakan, log saiki nampilake informasi sing luwih rinci babagan kesalahan lan driver.
  • mod_md mandheg ngolah panjalukan kanggo /. well-known/acme-challenge/ kajaba setelan domain kanthi tegas ngaktifake panggunaan jinis tantangan 'http-01'.
  • mod_dav ndandani regresi sing nyebabake konsumsi memori sing dhuwur nalika ngolah sumber daya sing akeh.
  • Nambahake kemampuan kanggo nggunakake perpustakaan pcre2 (10.x) tinimbang pcre (8.x) kanggo ngolah ekspresi biasa.
  • Dhukungan kanggo analisis anomali LDAP wis ditambahake menyang saringan pitakon kanggo nampilake data kanthi bener nalika nyoba serangan substitusi LDAP.
  • Ing mpm_event, deadlock sing kedadeyan nalika miwiti maneh utawa ngluwihi watesan MaxConnectionsPerChild ing sistem sing akeh dimuat wis didandani.

Source: opennet.ru

Add a comment