ಪ್ರೊಹೋಸ್ಟರ್ > Блог > ಇಂಟರ್ನೆಟ್ ಸುದ್ದಿ > ಅಪಾಚೆ 2.4.53 http ಸರ್ವರ್ ಬಿಡುಗಡೆಯು ಅಪಾಯಕಾರಿ ದೋಷಗಳನ್ನು ನಿವಾರಿಸಲಾಗಿದೆ

ಅಪಾಚೆ 2.4.53 http ಸರ್ವರ್ ಬಿಡುಗಡೆಯು ಅಪಾಯಕಾರಿ ದೋಷಗಳನ್ನು ನಿವಾರಿಸಲಾಗಿದೆ

Apache HTTP ಸರ್ವರ್ 2.4.53 ಬಿಡುಗಡೆಯನ್ನು ಪ್ರಕಟಿಸಲಾಗಿದೆ, ಇದು 14 ಬದಲಾವಣೆಗಳನ್ನು ಪರಿಚಯಿಸುತ್ತದೆ ಮತ್ತು 4 ದೋಷಗಳನ್ನು ಸರಿಪಡಿಸುತ್ತದೆ:

  • CVE-2022-22720 - ವಿಶೇಷವಾಗಿ ವಿನ್ಯಾಸಗೊಳಿಸಿದ ಕ್ಲೈಂಟ್ ವಿನಂತಿಗಳನ್ನು ಕಳುಹಿಸುವ ಮೂಲಕ, mod_proxy ಮೂಲಕ ರವಾನೆಯಾಗುವ ಇತರ ಬಳಕೆದಾರರ ವಿನಂತಿಗಳ ವಿಷಯಕ್ಕೆ ಬೆಣೆ ಹಾಕಲು ಅನುಮತಿಸುವ HTTP ವಿನಂತಿ ಕಳ್ಳಸಾಗಣೆ ದಾಳಿಯನ್ನು ನಡೆಸುವ ಸಾಧ್ಯತೆ (ಉದಾಹರಣೆಗೆ, ನೀವು ದುರುದ್ದೇಶಪೂರಿತ ಪರ್ಯಾಯವನ್ನು ಸಾಧಿಸಬಹುದು ಜಾವಾಸ್ಕ್ರಿಪ್ಟ್ ಕೋಡ್ ಅನ್ನು ಸೈಟ್‌ನ ಇನ್ನೊಬ್ಬ ಬಳಕೆದಾರರ ಸೆಷನ್‌ಗೆ ಸೇರಿಸಿ). ಅಮಾನ್ಯವಾದ ವಿನಂತಿಯ ದೇಹವನ್ನು ಪ್ರಕ್ರಿಯೆಗೊಳಿಸುವಾಗ ದೋಷಗಳನ್ನು ಎದುರಿಸಿದ ನಂತರ ಒಳಬರುವ ಸಂಪರ್ಕಗಳನ್ನು ಮುಕ್ತವಾಗಿ ಬಿಡುವುದರಿಂದ ಸಮಸ್ಯೆ ಉಂಟಾಗುತ್ತದೆ.
  • CVE-2022-23943 - ದಾಳಿಕೋರ-ನಿಯಂತ್ರಿತ ಡೇಟಾದೊಂದಿಗೆ ಹೀಪ್ ಮೆಮೊರಿಯ ವಿಷಯಗಳನ್ನು ಓವರ್‌ರೈಟ್ ಮಾಡಲು ಅನುಮತಿಸುವ mod_sed ಮಾಡ್ಯೂಲ್‌ನಲ್ಲಿ ಬಫರ್ ಓವರ್‌ಫ್ಲೋ.
  • CVE-2022-22721 - 350MB ಗಿಂತ ದೊಡ್ಡದಾದ ವಿನಂತಿಯ ದೇಹವನ್ನು ರವಾನಿಸುವಾಗ ಸಂಭವಿಸುವ ಪೂರ್ಣಾಂಕದ ಓವರ್‌ಫ್ಲೋ ಕಾರಣದಿಂದಾಗಿ ಮಿತಿಗಳನ್ನು ಬರೆಯಿರಿ. LimitXMLRequestBody ಮೌಲ್ಯವನ್ನು ತುಂಬಾ ಹೆಚ್ಚು ಹೊಂದಿಸಿರುವ 32-ಬಿಟ್ ಸಿಸ್ಟಮ್‌ಗಳಲ್ಲಿ ಸಮಸ್ಯೆಯು ಸ್ವತಃ ಸ್ಪಷ್ಟವಾಗಿ ಗೋಚರಿಸುತ್ತದೆ (ಡೀಫಾಲ್ಟ್ ಆಗಿ 1 MB, ದಾಳಿಗೆ ಮಿತಿಯು 350 MB ಗಿಂತ ಹೆಚ್ಚಿರಬೇಕು).
  • CVE-2022-22719 mod_lua ನಲ್ಲಿನ ದುರ್ಬಲತೆಯಾಗಿದ್ದು ಅದು ಯಾದೃಚ್ಛಿಕ ಮೆಮೊರಿ ಪ್ರದೇಶಗಳನ್ನು ಓದಲು ಮತ್ತು ವಿಶೇಷವಾಗಿ ರಚಿಸಲಾದ ವಿನಂತಿಯನ್ನು ಪ್ರಕ್ರಿಯೆಗೊಳಿಸುವಾಗ ಪ್ರಕ್ರಿಯೆಯನ್ನು ಕ್ರ್ಯಾಶ್ ಮಾಡಲು ಅನುಮತಿಸುತ್ತದೆ. r: ಪಾರ್ಸ್‌ಬಾಡಿ ಫಂಕ್ಷನ್ ಕೋಡ್‌ನಲ್ಲಿ ಆರಂಭಿಕ ಮೌಲ್ಯಗಳನ್ನು ಬಳಸುವುದರಿಂದ ಸಮಸ್ಯೆ ಉಂಟಾಗುತ್ತದೆ.

ಅತ್ಯಂತ ಗಮನಾರ್ಹವಾದ ಭದ್ರತೆಯಲ್ಲದ ಬದಲಾವಣೆಗಳೆಂದರೆ:

  • mod_proxy ನಲ್ಲಿ, ಹ್ಯಾಂಡ್ಲರ್ (ಕೆಲಸಗಾರ) ಹೆಸರಿನಲ್ಲಿರುವ ಅಕ್ಷರಗಳ ಸಂಖ್ಯೆಯ ಮಿತಿಯನ್ನು ಹೆಚ್ಚಿಸಲಾಗಿದೆ. ಬ್ಯಾಕೆಂಡ್ ಮತ್ತು ಫ್ರೆಂಡ್‌ಗಾಗಿ ಟೈಮ್‌ಔಟ್‌ಗಳನ್ನು ಆಯ್ದವಾಗಿ ಕಾನ್ಫಿಗರ್ ಮಾಡುವ ಸಾಮರ್ಥ್ಯವನ್ನು ಸೇರಿಸಲಾಗಿದೆ (ಉದಾಹರಣೆಗೆ, ಕೆಲಸಗಾರನಿಗೆ ಸಂಬಂಧಿಸಿದಂತೆ). ವೆಬ್‌ಸಾಕೆಟ್‌ಗಳು ಅಥವಾ ಸಂಪರ್ಕ ವಿಧಾನದ ಮೂಲಕ ಕಳುಹಿಸಲಾದ ವಿನಂತಿಗಳಿಗಾಗಿ, ಬ್ಯಾಕೆಂಡ್ ಮತ್ತು ಮುಂಭಾಗಕ್ಕಾಗಿ ಹೊಂದಿಸಲಾದ ಗರಿಷ್ಠ ಮೌಲ್ಯಕ್ಕೆ ಕಾಲಾವಧಿಯನ್ನು ಬದಲಾಯಿಸಲಾಗಿದೆ.
  • DBM ಫೈಲ್‌ಗಳನ್ನು ತೆರೆಯುವ ಮತ್ತು DBM ಡ್ರೈವರ್ ಅನ್ನು ಲೋಡ್ ಮಾಡುವ ಪ್ರತ್ಯೇಕ ನಿರ್ವಹಣೆ. ಕ್ರ್ಯಾಶ್‌ನ ಸಂದರ್ಭದಲ್ಲಿ, ಲಾಗ್ ಈಗ ದೋಷ ಮತ್ತು ಚಾಲಕದ ಬಗ್ಗೆ ಹೆಚ್ಚು ವಿವರವಾದ ಮಾಹಿತಿಯನ್ನು ಪ್ರದರ್ಶಿಸುತ್ತದೆ.
  • ಡೊಮೇನ್ ಸೆಟ್ಟಿಂಗ್‌ಗಳು 'http-01' ಸವಾಲು ಪ್ರಕಾರದ ಬಳಕೆಯನ್ನು ಸ್ಪಷ್ಟವಾಗಿ ಸಕ್ರಿಯಗೊಳಿಸದ ಹೊರತು mod_md /.well-known/acme-challenge/ ಗೆ ವಿನಂತಿಗಳನ್ನು ಪ್ರಕ್ರಿಯೆಗೊಳಿಸುವುದನ್ನು ನಿಲ್ಲಿಸಿದೆ.
  • mod_dav ಹೆಚ್ಚಿನ ಸಂಖ್ಯೆಯ ಸಂಪನ್ಮೂಲಗಳನ್ನು ಪ್ರಕ್ರಿಯೆಗೊಳಿಸುವಾಗ ಹೆಚ್ಚಿನ ಮೆಮೊರಿ ಬಳಕೆಯನ್ನು ಉಂಟುಮಾಡುವ ಹಿಂಜರಿತವನ್ನು ಸರಿಪಡಿಸಿದೆ.
  • ನಿಯಮಿತ ಅಭಿವ್ಯಕ್ತಿಗಳನ್ನು ಪ್ರಕ್ರಿಯೆಗೊಳಿಸಲು pcre (2.x) ಬದಲಿಗೆ pcre10 (8.x) ಲೈಬ್ರರಿಯನ್ನು ಬಳಸುವ ಸಾಮರ್ಥ್ಯವನ್ನು ಸೇರಿಸಲಾಗಿದೆ.
  • LDAP ಬದಲಿ ದಾಳಿಯನ್ನು ಪ್ರಯತ್ನಿಸುವಾಗ ಡೇಟಾವನ್ನು ಸರಿಯಾಗಿ ಪ್ರದರ್ಶಿಸಲು ಪ್ರಶ್ನೆ ಫಿಲ್ಟರ್‌ಗಳಿಗೆ LDAP ಅಸಂಗತ ವಿಶ್ಲೇಷಣೆಗೆ ಬೆಂಬಲವನ್ನು ಸೇರಿಸಲಾಗಿದೆ.
  • mpm_event ನಲ್ಲಿ, ಮರುಪ್ರಾರಂಭಿಸುವಾಗ ಅಥವಾ ಹೆಚ್ಚು ಲೋಡ್ ಮಾಡಲಾದ ಸಿಸ್ಟಮ್‌ಗಳಲ್ಲಿ MaxConnectionsPerChild ಮಿತಿಯನ್ನು ಮೀರಿದಾಗ ಉಂಟಾಗುವ ಡೆಡ್‌ಲಾಕ್ ಅನ್ನು ಸರಿಪಡಿಸಲಾಗಿದೆ.

ಮೂಲ: opennet.ru

ಕಾಮೆಂಟ್ ಅನ್ನು ಸೇರಿಸಿ