အားနည်းချက်များကို ပြင်ဆင်ပြီး Apache 2.4.54 http ဆာဗာ ထုတ်ဝေမှု

Apache HTTP ဆာဗာ 2.4.53 သည် အပြောင်းအလဲ 19 ခုကို မိတ်ဆက်ပြီး အားနည်းချက် 8 ခုကို ဖယ်ရှားလိုက်သည်-

• CVE-2022-31813 သည် မူလတောင်းဆိုချက်မှလာသော IP လိပ်စာနှင့်ပတ်သက်သော အချက်အလက်များဖြင့် X-Forwarded-* ခေါင်းစီးများပေးပို့ခြင်းကို ပိတ်ဆို့နိုင်စေမည့် mod_proxy တွင် အားနည်းချက်တစ်ခုဖြစ်သည်။ IP လိပ်စာများကို အခြေခံ၍ ဝင်ရောက်ခွင့် ကန့်သတ်ချက်များကို ကျော်ဖြတ်ရန် ပြဿနာကို အသုံးပြုနိုင်သည်။
• CVE-2022-30556 သည် Lua scripts များတွင် r:wsread() လုပ်ဆောင်ချက်ကို စီမံခန့်ခွဲခြင်းအားဖြင့် ခွဲဝေချထားပေးသော ကြားခံပြင်ပဒေတာများသို့ ဝင်ရောက်ခွင့်ပြုသည့် mod_lua တွင် အားနည်းချက်တစ်ခုဖြစ်သည်။
• CVE-2022-30522 - mod_sed module မှအချို့သောဒေတာကိုလုပ်ဆောင်သောအခါဝန်ဆောင်မှုကိုငြင်းပယ်ခြင်း (ရရှိနိုင်မှတ်ဉာဏ်ကုန်ခန်း) ။
• CVE-2022-29404 သည် r:parsebody(0) ခေါ်ဆိုမှုကို အသုံးပြု၍ Lua ကိုင်တွယ်သူများထံ အထူးဖန်တီးထားသော တောင်းဆိုချက်များကို ပေးပို့ခြင်းဖြင့် ထုတ်ယူထားသော mod_lua တွင် ဝန်ဆောင်မှုကို ငြင်းပယ်ခြင်းဖြစ်ပါသည်။
• CVE-2022-28615၊ CVE-2022-28614 – ap_strcmp_match() နှင့် ap_rwrite() လုပ်ဆောင်ချက်များတွင် အမှားအယွင်းများကြောင့် ဝန်ဆောင်မှုကို ငြင်းပယ်ခြင်း သို့မဟုတ် လုပ်ငန်းစဉ်မှတ်ဉာဏ်တွင် ဒေတာဝင်ရောက်ခြင်းအား ငြင်းပယ်ခြင်းဖြင့် ကြားခံနယ်နိမိတ်ကိုကျော်လွန်သော ဧရိယာမှ ဖတ်ရှုနိုင်ပါသည်။
• CVE-2022-28330 - mod_isapi ရှိ နယ်နိမိတ်ပြင်ပကြားခံနေရာများမှ သတင်းအချက်အလက်များ ယိုစိမ့်ခြင်း (ပြဿနာသည် Windows ပလပ်ဖောင်းပေါ်တွင်သာ ဖြစ်ပေါ်သည်)။
• CVE-2022-26377 – mod_proxy_ajp module သည် frontend-backend စနစ်များပေါ်ရှိ HTTP Request Smuggling attacks ကို ခံရနိုင်ချေရှိပြီး ၎င်းသည် frontend နှင့် backend ကြားရှိ တူညီသော thread တွင် လုပ်ဆောင်ခဲ့သော အခြားအသုံးပြုသူများ၏ တောင်းဆိုချက်များ၏ အကြောင်းအရာများထဲသို့ ကိုယ်တိုင်ခိုးသွင်းနိုင်စေပါသည်။

အထင်ရှားဆုံးသော လုံခြုံရေးမဟုတ်သော အပြောင်းအလဲများ-

• mod_ssl သည် OpenSSL 3.0 နှင့် SSLFIPS မုဒ်ကို သဟဇာတဖြစ်စေသည်။
• ab utility သည် TLSv1.3 ကို ပံ့ပိုးသည် (ဤပရိုတိုကောကို ပံ့ပိုးသည့် SSL စာကြည့်တိုက်နှင့် ချိတ်ဆက်ရန် လိုအပ်သည်)။
• mod_md တွင်၊ MDCertificateAuthority ညွှန်ကြားချက်သည် CA အမည်နှင့် URL တစ်ခုထက်ပို၍ ခွင့်ပြုသည်။ လမ်းညွှန်ချက်အသစ်များကို ပေါင်းထည့်ထားသည်- MDRetryDelay (ပြန်လည်ကြိုးစားရန် တောင်းဆိုချက်မပို့မီ နှောင့်နှေးမှုကို သတ်မှတ်သည်) နှင့် MDRetryFailover (အခြားရွေးချယ်မှုဆိုင်ရာ အသိအမှတ်ပြု အခွင့်အာဏာကို မရွေးချယ်မီ ပျက်ကွက်မှုတွင် ပြန်လည်ကြိုးစားမှုအရေအတွက်ကို သတ်မှတ်သည်)။ "ကီး-တန်ဖိုး" ဖော်မတ်တွင် တန်ဖိုးများကို ထုတ်သည့်အခါ "အော်တို" အခြေအနေအတွက် ပံ့ပိုးမှု ထပ်ထည့်ထားသည်။ Tailscale လုံခြုံသော VPN ကွန်ရက်၏ အသုံးပြုသူများအတွက် လက်မှတ်များကို စီမံခန့်ခွဲနိုင်စွမ်းကို ပေးထားသည်။
• mod_http2 module သည် အသုံးမပြုသော နှင့် မလုံခြုံသော ကုဒ်များကို ဖယ်ရှားပြီးပါပြီ။
• mod_proxy သည် log တွင်ရေးထားသော error message များတွင် backend network port ကို ရောင်ပြန်ဟပ်ကြောင်း သေချာစေသည်။
• mod_heartmonitor တွင် HeartbeatMaxServers ပါရာမီတာ၏တန်ဖိုးကို 0 မှ 10 သို့ပြောင်းထားသည် (မျှဝေထားသော memory slot 10 ခုကို အစပြုနေသည်)။

source: opennet.ru