پرو هوسٽر > بلاگ > انٽرنيٽ خبرون > Apache 2.4.54 http سرور رليز ڪيو ويو نقصانڪارن سان

Apache 2.4.54 http سرور رليز ڪيو ويو نقصانڪارن سان

Apache HTTP سرور 2.4.53 جاري ڪيو ويو آهي، متعارف ڪرايو ويو آهي 19 تبديليون ۽ ختم ڪندي 8 خطرات:

  • CVE-2022-31813 mod_proxy ۾ هڪ خطرو آهي جيڪو توهان کي اجازت ڏئي ٿو ته X-Forwarded-* هيڊر موڪلڻ کان روڪيو ان IP پتي بابت معلومات سان جنهن کان اصل درخواست آئي هئي. مسئلو IP پتي جي بنياد تي رسائي جي پابندين کي نظرانداز ڪرڻ لاءِ استعمال ٿي سگهي ٿو.
  • CVE-2022-30556 mod_lua ۾ هڪ ڪمزوري آهي جيڪا مختص ٿيل بفر کان ٻاهر ڊيٽا تائين رسائي جي اجازت ڏئي ٿي r:wsread() فنڪشن کي لوا اسڪرپٽ ۾ استعمال ڪندي.
  • CVE-2022-30522 - خدمت کان انڪار (دستياب ميموري ختم ٿيڻ) جڏهن mod_sed ماڊل طرفان ڪجهه ڊيٽا پروسيسنگ.
  • CVE-2022-29404 mod_lua ۾ خدمت کان انڪار آهي r:parsebody(0) ڪال استعمال ڪندي Lua هينڊلرن کي خاص طور تي تيار ڪيل درخواستون موڪلڻ سان استحصال ڪيو ويو آهي.
  • CVE-2022-28615, CVE-2022-28614 – ap_strcmp_match() ۽ ap_rwrite() ڪمن ۾ غلطين جي ڪري سروس يا پروسيس ميموري ۾ ڊيٽا تائين رسائي کان انڪار، نتيجي ۾ بفر جي حد کان ٻاهر واري علائقي مان پڙهڻ.
  • CVE-2022-28330 - mod_isapi (مسئلو صرف ونڊوز پليٽ فارم تي ٿئي ٿو).
  • CVE-2022-26377 - mod_proxy_ajp ماڊل HTTP درخواست جي اسمگلنگ حملن لاءِ حساس آهي فرنٽ اينڊ-بيڪ اينڊ سسٽم تي، جيڪو ان کي اجازت ڏئي ٿو پاڻ کي سمگل ڪري ٻين صارفين جي درخواستن جي مواد ۾ جيڪو فرنٽ اينڊ ۽ پسمنظر جي وچ ۾ ساڳئي سلسلي ۾ پروسيس ٿيل آهي.

سڀ کان وڌيڪ قابل ذڪر غير سيڪيورٽي تبديليون:

  • mod_ssl SSL FIPS موڊ کي OpenSSL 3.0 سان مطابقت رکي ٿو.
  • ab utility TLSv1.3 کي سپورٽ ڪري ٿي (هڪ SSL لائبريري سان ڳنڍڻ جي ضرورت آهي جيڪا هن پروٽوڪول کي سپورٽ ڪري ٿي).
  • mod_md ۾، MDCertificateAuthority جي هدايت هڪ کان وڌيڪ CA جو نالو ۽ URL جي اجازت ڏئي ٿي. نيون هدايتون شامل ڪيون ويون آهن: MDRetryDelay (ٻيهر ڪوشش جي درخواست موڪلڻ کان اڳ دير جي وضاحت ڪري ٿو) ۽ MDRetryFailover (متبادل سرٽيفڪيشن اٿارٽي چونڊڻ کان اڳ ناڪامي جي صورت ۾ ٻيهر ڪوششن جو تعداد بيان ڪري ٿو). شامل ڪيل سپورٽ "خودڪار" رياست لاءِ جڏهن "ڪي: قدر" فارميٽ ۾ قدرن کي ٻاھر ڪڍو. ٽيل اسڪيل محفوظ وي پي اين نيٽ ورڪ جي استعمال ڪندڙن لاءِ سرٽيفڪيٽ کي منظم ڪرڻ جي صلاحيت ڏني وئي.
  • mod_http2 ماڊل صاف ڪيو ويو آھي غير استعمال ٿيل ۽ غير محفوظ ڪوڊ کان.
  • mod_proxy انهي ڳالهه کي يقيني بڻائي ٿو ته پس منظر نيٽ ورڪ پورٽ لاگ ۾ لکيل غلطي پيغامن ۾ ظاهر ٿئي ٿو.
  • mod_heartmonitor ۾، HeartbeatMaxServers پيٽرولر جو قدر 0 کان 10 تائين تبديل ڪيو ويو آھي (شروع ڪرڻ 10 گڏيل ميموري سلاٽ).

جو ذريعو: opennet.ru

تبصرو شامل ڪريو