ProHoster > Log > Internett-nyheter > Utgivelse av Apache 2.4.53 http-server med eliminering av farlige sårbarheter

Utgivelse av Apache 2.4.53 http-server med eliminering av farlige sårbarheter

Apache HTTP-serveren 2.4.53 har blitt utgitt, og introduserer 14 endringer og eliminerer 4 sårbarheter:

  • CVE-2022-22720 - muligheten for å utføre et "HTTP Request Smuggling"-angrep, som gjør det mulig, ved å sende spesialdesignede klientforespørsler, å kile seg inn i innholdet i forespørsler fra andre brukere sendt gjennom mod_proxy (du kan for eksempel oppnå innsetting av ondsinnet JavaScript-kode i økten til en annen bruker av nettstedet). Problemet er forårsaket av å la innkommende tilkoblinger være åpne etter at feil oppstår ved behandling av en ugyldig forespørselstekst.
  • CVE-2022-23943 En bufferoverflyt i mod_sed-modulen gjør at innholdet i heap-minnet kan overskrives med angriperkontrollerte data.
  • CVE-2022-22721 Det er mulig skriving utenfor grensene på grunn av et heltallsoverløp som oppstår når du sender en forespørselstekst som er større enn 350 MB. Problemet vises på 32-bits systemer i innstillingene der LimitXMLRequestBody-verdien er satt for høyt (som standard 1 MB, for et angrep må grensen være høyere enn 350 MB).
  • CVE-2022-22719 er en sårbarhet i mod_lua som tillater tilfeldige minneavlesninger og en prosesskrasj ved behandling av en spesiallaget forespørselstekst. Problemet er forårsaket av bruk av uinitialiserte verdier i r:parsebody-funksjonskoden.

De mest bemerkelsesverdige ikke-sikkerhetsendringene:

  • I mod_proxy er grensen for antall tegn i navnet til arbeideren (arbeideren) økt. Lagt til muligheten til å selektivt konfigurere tidsavbrudd for backend og frontend (for eksempel i forbindelse med en arbeider). For forespørsler sendt via websockets eller CONNECT-metoden, er tidsavbruddstiden endret til maksimalverdien som er satt for backend og frontend.
  • Behandlingen av å åpne DBM-filer og laste inn DBM-driveren er skilt. Ved feil viser loggen nå mer detaljert informasjon om feilen og driveren.
  • I mod_md er forespørsler til /.well-known/acme-challenge/ stoppet fra å bli behandlet hvis innstillingene domene Bruken av bekreftelsestypen «http-01» er ikke eksplisitt aktivert.
  • Mod_dav har fikset en regresjon som forårsaket høyt minneforbruk ved håndtering av store mengder ressurser.
  • Lagt til muligheten til å bruke pcre2 (10.x)-biblioteket i stedet for pcre (8.x) for å behandle regulære uttrykk.
  • Støtte for anomalianalyse for LDAP-protokollen er lagt til for å be om filtre for å skjerme data på riktig måte ved forsøk på å utføre LDAP-substitusjonsangrep.
  • I mpm_event er en dødlås som oppstår ved omstart eller overskridelse av MaxConnectionsPerChild-grensen på tungt belastede systemer eliminert.

Kilde: opennet.ru