ProHoster > Blog > Internet Neiegkeeten > Verëffentlechung vum Apache 2.4.53 http Server mat Eliminatioun vu geféierleche Schwachstelle

Verëffentlechung vum Apache 2.4.53 http Server mat Eliminatioun vu geféierleche Schwachstelle

Den Apache HTTP-Server 2.4.53 gouf verëffentlecht, 14 Ännerungen agefouert an 4 Schwachstelle eliminéiert:

  • CVE-2022-22720 - d'Méiglechkeet fir en "HTTP Request Smuggling" Attack auszeféieren, wat et erlaabt, andeems Dir speziell entworf Client Ufroe schéckt, an den Inhalt vun Ufroe vun anere Benotzer iwwerdroen mod_proxy (zum Beispill, Dir kënnt de Aféierung vu béiswëllegen JavaScript Code an d'Sessioun vun engem anere Benotzer vum Site). De Problem gëtt verursaacht andeems d'Entrée Verbindungen oppe loossen nodeems Feeler geschéien wann Dir en ongëlteg Ufrokierper veraarbecht.
  • CVE-2022-23943 E Puffer-Iwwerfluss am mod_sed-Modul erlaabt den Inhalt vun der Heap-Erënnerung mat Angreifer-kontrolléierten Donnéeën ze iwwerschreiwe.
  • CVE-2022-22721 Et gëtt e méiglechen Out-of-Grenze Schreiwen wéinst engem ganzen Iwwerfloss deen geschitt wann Dir en Ufrokierper méi grouss wéi 350MB passéiert. De Problem erschéngt op 32-bëssen Systemer an den Astellunge vun deenen de LimitXMLRequestBody Wäert ze héich gesat ass (par défaut 1 MB, fir eng Attack muss d'Limite méi héich sinn wéi 350 MB).
  • CVE-2022-22719 ass eng Schwachstelle am mod_lua déi zoufälleg Erënnerungsliesen an e Prozess Crash erlaabt wann Dir e speziell erstallt Ufrokierper veraarbecht. De Problem gëtt verursaacht duerch d'Benotzung vun oninitialiséierte Wäerter am r: parsebody Funktiounscode.

Déi bemierkenswäert Net-Sécherheetsännerungen:

  • Am mod_proxy ass d'Limite op d'Zuel vun den Zeechen am Numm vum Aarbechter (Aarbechter) erhéicht ginn. D'Fäegkeet bäigefüügt fir selektiv Timeouts fir de Backend a Frontend ze konfiguréieren (zum Beispill a Verbindung mat engem Aarbechter). Fir Ufroen, déi iwwer Websockets oder d'CONNECT Method geschéckt ginn, ass d'Timeoutzäit op de maximale Wäert, dee fir de Backend a Frontend festgeluecht gouf, geännert.
  • D'Veraarbechtung vun der Ouverture vun DBM Dateien an der Luede vum DBM Chauffer gouf getrennt. Am Fall vun engem Echec weist de Log elo méi detailléiert Informatiounen iwwer de Feeler an de Chauffer.
  • Am mod_md goufen Ufroen un /.well-known/acme-challenge/ net méi veraarbecht, wann d'Astellungen Domain D'Benotzung vum Verifizéierungstyp 'http-01' ass net explizit aktivéiert.
  • Mod_dav huet eng Regressioun fixéiert, déi e grousse Gedächtnisverbrauch verursaacht huet beim Ëmgank mat grousser Zuel vu Ressourcen.
  • D'Fäegkeet bäigefüügt fir d'pcre2 (10.x) Bibliothéik ze benotzen amplaz pcre (8.x) fir d'Veraarbechtung vun reguläre Ausdréck.
  • Ënnerstëtzung fir Anomalieanalyse fir den LDAP-Protokoll gouf bäigefüügt fir Filteren ze froen fir d'Daten korrekt ze screenen wann Dir probéiert LDAP-Substitutiounsattacken auszeféieren.
  • Am mpm_event ass en Deadlock deen optrieden wann Dir d'MaxConnectionsPerChild Limit op schwéier gelueden Systemer nei start oder iwwerschreit, eliminéiert.

Source: opennet.ru

Kaaft zouverlässeg Hosting fir Site mat DDoS Schutz, VPS VDS Server 🔥 Kaaft zouverléissegt Websäithosting mat DDoS-Schutz, VPS VDS Server | ProHoster