ProHoster > Blog > vaovao amin'ny Internet > Famotsorana ny mpizara Apache 2.4.53 http miaraka amin'ny fanafoanana ny vulnerability mampidi-doza

Famotsorana ny mpizara Apache 2.4.53 http miaraka amin'ny fanafoanana ny vulnerability mampidi-doza

Navoaka ny mpizara Apache HTTP 2.4.53, nampiditra fanovana 14 ary nanafoana ny vulnerability 4:

  • CVE-2022-22720 - ny mety hisian'ny fanafihana "HTTP Request Smuggling", izay mamela, amin'ny alΓ lan'ny fandefasana fangatahana mpanjifa novolavolaina manokana, hiditra amin'ny votoatin'ny fangatahana avy amin'ny mpampiasa hafa nampitaina tamin'ny mod_proxy (ohatra, azonao atao fampidirana kaody JavaScript manimba ao amin'ny fotoam-pivorian'ny mpampiasa iray hafa amin'ny tranokala). Ny olana dia avy amin'ny famelana ny fifandraisana miditra misokatra aorian'ny nitrangan'ny lesoka rehefa mikarakara vatana fangatahana tsy mety.
  • CVE-2022-23943 Ny fihoaran'ny buffer ao amin'ny maody mod_sed dia ahafahan'ny atiny fitadidiana amboarina hosoloina miaraka amin'ny angona fehezin'ny mpanafika.
  • CVE-2022-22721 Misy fanoratra mivoaka ivelan'ny sisintany noho ny fihoaran'ny integer izay mitranga rehefa mandalo vatana fangatahana lehibe kokoa noho ny 350MB. Ny olana dia miseho amin'ny rafitra 32-bit amin'ny toe-javatra izay ametrahana ny sanda LimitXMLRequestBody avo loatra (amin'ny alΓ lan'ny default 1 MB, ho an'ny fanafihana dia tsy maintsy mihoatra ny 350 MB ny fetra).
  • Ny CVE-2022-22719 dia vulnerability amin'ny mod_lua izay mamela ny famakiana fahatsiarovana kisendrasendra sy ny fianjeran'ny dingana rehefa manamboatra vatana fangatahana noforonina manokana. Ny olana dia vokatry ny fampiasana ny soatoavina tsy fantatra amin'ny r: parsebody function code.

Ny fiovana tsy azo antoka indrindra:

  • Ao amin'ny mod_proxy, nitombo ny fetra amin'ny isan'ny litera amin'ny anaran'ny mpiasa (mpiasa). Nampiana ny fahafahana manitsy ny fe-potoana ho an'ny backend sy frontend (ohatra, mifandray amin'ny mpiasa). Ho an'ny fangatahana alefa amin'ny alalan'ny websockets na ny fomba CONNECT, ny fotoana fiatoana dia novaina ho amin'ny sanda ambony indrindra napetraka ho an'ny backend sy frontend.
  • Nisaraka ny fanodinana ny fanokafana rakitra DBM sy ny fametahana ny mpamily DBM. Raha misy tsy fahombiazana, ny log dia mampiseho fampahalalana amin'ny antsipiriany bebe kokoa momba ny fahadisoana sy ny mpamily.
  • mod_md dia natsahatra ny fanodinana ny fangatahana amin'ny /.well-known/acme-challenge/ raha tsy hoe ny firafitry ny sehatra dia namela mazava ny fampiasana ny karazana fanamarinana 'http-01'.
  • Mod_dav dia nanamboatra fihemorana izay niteraka fanjifana fitadidiana be rehefa nitantana loharano maro.
  • Nampiana ny fahafahana mampiasa ny pcre2 (10.x) famakiam-boky fa tsy ny pcre (8.x) amin'ny fanodinana teny mahazatra.
  • Ny fanohanan'ny famakafakana anomaly ho an'ny protocole LDAP dia nampiana mba hangataka sivana mba hijerena tsara ny angona rehefa manandrana manao fanafihana fanoloana LDAP.
  • Ao amin'ny mpm_event dia nesorina ny fiatoana izay mitranga rehefa manomboka na mihoatra ny fetra MaxConnectionsPerChild amin'ny rafitra be entana.

Source: opennet.ru

Add a comment