ProHoster > Π‘Π»ΠΎΠ³ > warta internet > Apache 2.4.54 http server release karo vulnerabilities tetep

Apache 2.4.54 http server release karo vulnerabilities tetep

Server HTTP Apache 2.4.53 wis dirilis, ngenalake 19 owah-owahan lan ngilangi 8 kerentanan:

  • CVE-2022-31813 minangka kerentanan ing mod_proxy sing ngidini sampeyan mblokir kiriman header X-Forwarded-* kanthi informasi babagan alamat IP saka panyuwunan asli. Masalah kasebut bisa digunakake kanggo ngliwati watesan akses adhedhasar alamat IP.
  • CVE-2022-30556 minangka kerentanan ing mod_lua sing ngidini akses menyang data ing njaba buffer sing diparengake liwat manipulasi fungsi r: wsread () ing skrip Lua.
  • CVE-2022-30522 - Penolakan layanan (kesel memori kasedhiya) nalika ngolah data tartamtu kanthi modul mod_sed.
  • CVE-2022-29404 minangka penolakan layanan ing mod_lua sing dieksploitasi kanthi ngirim panjaluk sing digawe khusus menyang pawang Lua nggunakake telpon r: parsebody (0).
  • CVE-2022-28615, CVE-2022-28614 - Nolak layanan utawa akses menyang data ing memori proses amarga kasalahan ing ap_strcmp_match () lan ap_rwrite () fungsi, asil ing maca saka wilayah ngluwihi wates buffer.
  • CVE-2022-28330 - Kebocoran informasi saka wilayah buffer sing ora ana wates ing mod_isapi (masalah kasebut mung ana ing platform Windows).
  • CVE-2022-26377 – Modul mod_proxy_ajp rentan marang serangan HTTP Request Smuggling ing sistem frontend-backend, sing ngidini kanggo nylundupke dhewe menyang isi panjalukan pangguna liyane sing diproses ing benang sing padha ing antarane frontend lan backend.

Owah-owahan non-keamanan sing paling penting yaiku:

  • mod_ssl ndadekake mode SSLFIPS kompatibel karo OpenSSL 3.0.
  • Utilitas ab ndhukung TLSv1.3 (mbutuhake nyambungake karo perpustakaan SSL sing ndhukung protokol iki).
  • Ing mod_md, arahan MDCertificateAuthority ngidini luwih saka siji jeneng lan URL CA. Pandhuan anyar wis ditambahake: MDRetryDelay (nemtokake wektu tundha sadurunge ngirim panjaluk nyoba maneh) lan MDRetryFailover (nemtokake jumlah nyoba maneh yen gagal sadurunge milih wewenang sertifikasi alternatif). Dhukungan ditambahake kanggo negara "otomatis" nalika ngasilake nilai ing format "kunci: nilai". Nyedhiyakake kemampuan kanggo ngatur sertifikat kanggo pangguna jaringan VPN aman Tailscale.
  • Modul mod_http2 wis diresiki saka kode sing ora digunakake lan ora aman.
  • mod_proxy njamin port jaringan backend dibayangke ing pesen kesalahan sing ditulis ing log.
  • Ing mod_heartmonitor, Nilai saka parameter HeartbeatMaxServers wis diganti saka 0 kanggo 10 (initializing 10 slot memori sambungan).

Source: opennet.ru

Add a comment