ProHoster > Blogs > interneta ziņas > Apache 2.4.54 http servera laidiens ar labotu ievainojamību

Apache 2.4.54 http servera laidiens ar labotu ievainojamību

Apache HTTP serveris 2.4.53 ir izlaists, ieviešot 19 izmaiņas un novēršot 8 ievainojamības:

  • CVE-2022-31813 ir mod_proxy ievainojamība, kas ļauj bloķēt X-Forwarded-* galveņu sūtīšanu ar informāciju par IP adresi, no kuras tika saņemts sākotnējais pieprasījums. Problēmu var izmantot, lai apietu piekļuves ierobežojumus, pamatojoties uz IP adresēm.
  • CVE-2022-30556 ir mod_lua ievainojamība, kas ļauj piekļūt datiem ārpus piešķirtā bufera, manipulējot ar r:wsread() funkciju Lua skriptos.
  • CVE-2022-30522 — pakalpojuma atteikums (pieejamās atmiņas izsmelšana), apstrādājot noteiktus datus mod_sed modulī.
  • CVE-2022-29404 ir pakalpojuma mod_lua atteikums, ko izmanto, nosūtot īpaši izstrādātus pieprasījumus Lua apstrādātājiem, izmantojot izsaukumu r:parsebody(0).
  • CVE-2022-28615, CVE-2022-28614 — pakalpojuma atteikums vai piekļuve datiem procesa atmiņā ap_strcmp_match() un ap_rwrite() funkciju kļūdu dēļ, kā rezultātā notiek nolasīšana no apgabala, kas atrodas ārpus bufera robežas.
  • CVE-2022-28330 — informācijas noplūde no mod_isapi ārpus robežām bufera apgabaliem (problēma rodas tikai Windows platformā).
  • CVE-2022-26377 — modulis mod_proxy_ajp ir uzņēmīgs pret HTTP pieprasījumu kontrabandas uzbrukumiem priekšgala aizmugursistēmas sistēmām, kas ļauj tam iekļūt citu lietotāju pieprasījumu saturā, kas apstrādāti tajā pašā pavedienā starp priekšgalu un aizmugursistēmu.

Ievērojamākās ar drošību nesaistītās izmaiņas:

  • mod_ssl padara SSLFIPS režīmu saderīgu ar OpenSSL 3.0.
  • Ab utilīta atbalsta TLSv1.3 (nepieciešama saite ar SSL bibliotēku, kas atbalsta šo protokolu).
  • Programmā mod_md direktīva MDCertificateAuthority atļauj vairāk nekā vienu CA nosaukumu un URL. Ir pievienotas jaunas direktīvas: MDRetryDelay (definē aizkavi pirms atkārtota mēģinājuma pieprasījuma nosūtīšanas) un MDRetryFailover (definē atkārtojumu skaitu neveiksmes gadījumā pirms alternatīvas sertifikācijas iestādes izvēles). Pievienots “automātiskā” stāvokļa atbalsts, izvadot vērtības “atslēga: vērtība” formātā. Nodrošina iespēju pārvaldīt Tailscale drošā VPN tīkla lietotāju sertifikātus.
  • Mod_http2 modulis ir iztīrīts no neizmantota un nedroša koda.
  • mod_proxy nodrošina, ka aizmugursistēmas tīkla ports tiek atspoguļots žurnālam rakstītajos kļūdu ziņojumos.
  • Programmā mod_heartmonitor parametra HeartbeatMaxServers vērtība ir mainīta no 0 uz 10 (inicializējot 10 koplietotās atmiņas slotus).

Avots: opennet.ru

Pievieno komentāru