پرو هوسٽر > بلاگ > انٽرنيٽ خبرون > Apache 2.4.53 http سرور جي جاري ٿيڻ سان خطرناڪ خطرن جي خاتمي سان

Apache 2.4.53 http سرور جي جاري ٿيڻ سان خطرناڪ خطرن جي خاتمي سان

Apache HTTP سرور 2.4.53 جاري ڪيو ويو آهي، متعارف ڪرايو ويو آهي 14 تبديليون ۽ 4 نقصانات کي ختم ڪرڻ:

  • CVE-2022-22720 - هڪ ”HTTP درخواست اسمگلنگ“ حملي کي انجام ڏيڻ جو امڪان، جيڪو اجازت ڏئي ٿو، خاص طور تي ڊزائين ڪيل ڪلائنٽ درخواستون موڪلڻ سان، mod_proxy ذريعي منتقل ڪيل ٻين صارفين جي درخواستن جي مواد کي ٽوڙڻ لاءِ (مثال طور، توهان حاصل ڪري سگهو ٿا. سائيٽ جي ٻئي صارف جي سيشن ۾ بدڪاري جاوا اسڪرپٽ ڪوڊ داخل ڪرڻ). مسئلو اچڻ واري ڪنيڪشن کي کليل ڇڏڻ سبب پيدا ٿئي ٿو جڏهن غلطيون ٿينديون آهن جڏهن غلط درخواست واري جسم کي پروسيس ڪندي.
  • CVE-2022-23943 mod_sed ماڊل ۾ هڪ بفر اوور فلو هيپ ميموري جي مواد کي حملي ڪندڙ-ڪنٽرول ٿيل ڊيٽا سان اوور رائٽ ڪرڻ جي اجازت ڏئي ٿو.
  • CVE-2022-22721 انٽيجر اوور فلو جي ڪري ممڪن حد کان ٻاهر لکڻ ممڪن آهي جيڪو 350MB کان وڏي درخواست واري باڊي کي پاس ڪرڻ وقت ٿئي ٿو. مسئلو 32-bit سسٽم تي ظاهر ٿئي ٿو سيٽنگن ۾ جنهن جي LimitXMLRequestBody ويليو تمام گهڻي سيٽ ڪئي وئي آهي (ڊفالٽ 1 MB، حملي لاءِ حد 350 MB کان وڌيڪ هجڻ گهرجي).
  • CVE-2022-22719 mod_lua ۾ هڪ خطرو آهي جيڪو بي ترتيب ميموري پڙهڻ جي اجازت ڏئي ٿو ۽ هڪ پروسيس حادثو جڏهن خاص طور تي تيار ڪيل درخواست واري جسم کي پروسيس ڪندي. مسئلو r:parsebody فنڪشن ڪوڊ ۾ غير شروع ٿيل قدرن جي استعمال جي ڪري پيدا ٿيو آهي.

سڀ کان وڌيڪ قابل ذڪر غير سيڪيورٽي تبديليون:

  • mod_proxy ۾، ڪم ڪندڙ (ڪم ڪندڙ) جي نالي ۾ اکرن جي تعداد تي حد وڌائي وئي آھي. پٺاڻ ۽ فرنٽ اينڊ لاءِ چونڊيل ٽائيم آئوٽ ترتيب ڏيڻ جي صلاحيت شامل ڪئي وئي (مثال طور، ڪم ڪندڙ جي حوالي سان). ويب ساکٽ ذريعي موڪليل درخواستن لاءِ يا CONNECT طريقي سان، وقت ختم ٿيڻ جو وقت تبديل ڪيو ويو آهي وڌ ۾ وڌ قدر مقرر ڪيل پس منظر ۽ فرنٽ اينڊ لاءِ.
  • ڊي بي ايم فائلن کي کولڻ ۽ ڊي بي ايم ڊرائيور کي لوڊ ڪرڻ جي پروسيسنگ کي الڳ ڪيو ويو آهي. ناڪامي جي صورت ۾، لاگ هاڻي غلطي ۽ ڊرائيور بابت وڌيڪ تفصيلي ڄاڻ ڏيکاري ٿو.
  • mod_md /.well-known/acme-challenge/ ڏانهن درخواستن جي پروسيسنگ کي روڪي ڇڏيو آهي جيستائين ڊومين سيٽنگون واضح طور تي 'http-01' جي تصديق واري قسم جي استعمال کي فعال نه ڪيو آهي.
  • Mod_dav هڪ رجعت کي مقرر ڪيو آهي جنهن جي ڪري اعلي ميموري واپرائڻ جڏهن وسيلن جي وڏي تعداد کي هٿي وٺندي.
  • باقاعده اظهار جي پروسيسنگ لاءِ pcre (2.x) بدران pcre10 (8.x) لائبريري استعمال ڪرڻ جي صلاحيت شامل ڪئي وئي.
  • LDAP پروٽوڪول لاءِ بي ترتيبي تجزيي لاءِ سپورٽ شامل ڪئي وئي آهي فلٽرن کي درخواست ڪرڻ لاءِ صحيح طريقي سان ڊيٽا کي اسڪرين ڪرڻ لاءِ جڏهن LDAP متبادل حملن کي انجام ڏيڻ جي ڪوشش ڪئي وڃي.
  • mpm_event ۾، هڪ تعطل جيڪو ٿئي ٿو جڏهن ٻيهر شروع ٿئي ٿو يا وڌندي وڌندي MaxConnectionsPerChild حد کان وڌيڪ لوڊ ٿيل سسٽم تي ختم ڪيو ويو آهي.

جو ذريعو: opennet.ru

تبصرو شامل ڪريو