ProHoster > Log > Internett-nyheter > Apache 2.4.54 http-serverutgivelse med sårbarheter fikset

Apache 2.4.54 http-serverutgivelse med sårbarheter fikset

Apache HTTP-serveren 2.4.53 har blitt utgitt, og introduserer 19 endringer og eliminerer 8 sårbarheter:

  • CVE-2022-31813 er en sårbarhet i mod_proxy som lar deg blokkere sending av X-Forwarded-*-hoder med informasjon om IP-adressen som den opprinnelige forespørselen kom fra. Problemet kan brukes til å omgå tilgangsbegrensninger basert på IP-adresser.
  • CVE-2022-30556 er en sårbarhet i mod_lua som gir tilgang til data utenfor den tildelte bufferen gjennom manipulering av r:wsread()-funksjonen i Lua-skript.
  • CVE-2022-30522 – Denial of service (tilgjengelig minneutmatting) ved behandling av visse data av mod_sed-modulen.
  • CVE-2022-29404 er en tjenestenekt i mod_lua som utnyttes ved å sende spesiallagde forespørsler til Lua-behandlere ved å bruke r:parsebody(0)-kallet.
  • CVE-2022-28615, CVE-2022-28614 – Denial of service eller tilgang til data i prosessminnet på grunn av feil i funksjonene ap_strcmp_match() og ap_rwrite(), noe som resulterer i en lesing fra et område utenfor buffergrensen.
  • CVE-2022-28330 – Informasjonslekkasje fra bufferområder utenfor grensene i mod_isapi (problemet oppstår kun på Windows-plattformen).
  • CVE-2022-26377 – Mod_proxy_ajp-modulen er mottakelig for HTTP Request Smugling-angrep på frontend-backend-systemer, som lar den smugle seg inn i innholdet i andre brukeres forespørsler behandlet i samme tråd mellom frontend og backend.

De mest bemerkelsesverdige ikke-sikkerhetsendringene:

  • mod_ssl gjør SSLFIPS-modus kompatibel med OpenSSL 3.0.
  • Ab-verktøyet støtter TLSv1.3 (krever kobling med et SSL-bibliotek som støtter denne protokollen).
  • I mod_md tillater MDCertificateAuthority-direktivet mer enn ett CA-navn og URL. Nye direktiver er lagt til: MDRetryDelay (definerer forsinkelsen før sending av en ny forespørsel) og MDRetryFailover (definerer antall gjenforsøk i tilfelle feil før du velger en alternativ sertifiseringsinstans). Lagt til støtte for "auto"-tilstanden ved utmating av verdier i formatet "nøkkel: verdi". Gir muligheten til å administrere sertifikater for brukere av Tailscales sikre VPN-nettverk.
  • Mod_http2-modulen har blitt renset for ubrukt og usikker kode.
  • mod_proxy sikrer at backend-nettverksporten gjenspeiles i feilmeldinger skrevet til loggen.
  • I mod_heartmonitor er verdien til HeartbeatMaxServers-parameteren endret fra 0 til 10 (initialiserer 10 delte minnespor).

Kilde: opennet.ru

Legg til en kommentar