ProHoster > බ්ලොග් > අන්තර්ජාල පුවත් > Apache 2.4.53 http සේවාදායක නිකුතුව භයානක දුර්වලතා සවි කර ඇත

Apache 2.4.53 http සේවාදායක නිකුතුව භයානක දුර්වලතා සවි කර ඇත

Apache HTTP Server 2.4.53 නිකුතුව ප්‍රකාශයට පත් කර ඇත, එය වෙනස්කම් 14 ක් හඳුන්වා දෙන අතර 4 දුර්වලතා නිවැරදි කරයි:

  • CVE-2022-22720 - විශේෂයෙන් නිර්මාණය කරන ලද සේවාදායක ඉල්ලීම් යැවීමෙන්, mod_proxy හරහා සම්ප්‍රේෂණය වන වෙනත් පරිශීලකයින්ගේ ඉල්ලීම්වල අන්තර්ගතයට සම්බන්ධ වීමට ඉඩ සලසන "HTTP ඉල්ලීම් ජාවාරම්" ප්‍රහාරයක් සිදු කිරීමේ හැකියාව (උදාහරණයක් ලෙස, ඔබට ආදේශනය ලබා ගත හැක. වෙබ් අඩවියේ වෙනත් පරිශීලකයෙකුගේ සැසියේ අනිෂ්ට JavaScript කේතය). වලංගු නොවන ඉල්ලීම් ශරීරයක් සැකසීමේදී දෝෂ වලට ලක්වීමෙන් පසු පැමිණෙන සම්බන්ධතා විවෘතව තැබීමෙන් ගැටළුව ඇතිවේ.
  • CVE-2022-23943 - ප්‍රහාරක-පාලිත දත්ත සමඟ ගොඩ මතකයේ අන්තර්ගතය නැවත ලිවීමට ඉඩ දෙන mod_sed මොඩියුලයේ බෆරයක් පිටාර ගැලීම.
  • CVE-2022-22721 - 350MB ට වඩා විශාල ඉල්ලීම් අන්තර්ගතයක් පසු කරන විට සිදුවන පූර්ණ සංඛ්‍යා පිටාර ගැලීම හේතුවෙන් සීමාවෙන් පිටත ලියන්න. LimitXMLRequestBody අගය ඉතා ඉහළ ලෙස සකසා ඇති සැකසුම් වල (පෙරනිමියෙන් 32 MB, ප්‍රහාරයක් සඳහා සීමාව 1 MB ට වඩා වැඩි විය යුතුය) 350-bit පද්ධති මත ගැටළුව ප්‍රකාශ වේ.
  • CVE-2022-22719 යනු mod_lua හි ඇති අවදානමක් වන අතර එය සසම්භාවී මතක ප්‍රදේශ කියවීමට සහ විශේෂයෙන් සැකසූ ඉල්ලීම් ශරීරයක් සැකසීමේදී ක්‍රියාවලිය බිඳ වැටීමට ඉඩ සලසයි. ගැටළුව ඇතිවන්නේ r:parsebody ශ්‍රිත කේතයේ ආරම්භක අගයන් භාවිතා කිරීමෙනි.

වඩාත්ම කැපී පෙනෙන ආරක්ෂක නොවන වෙනස්කම් වන්නේ:

  • mod_proxy හි, හසුරුවන්නාගේ (වැඩකරු) නමෙහි අක්ෂර ගණනෙහි සීමාව වැඩි කර ඇත. පසුපෙළ සහ ඉදිරිපස (උදාහරණයක් ලෙස, සේවකයෙකු සම්බන්ධයෙන්) සඳහා කාල සීමාවන් තෝරාගෙන වින්‍යාස කිරීමේ හැකියාව එක් කරන ලදී. Websockets හෝ CONNECT ක්‍රමය හරහා යවන ලද ඉල්ලීම් සඳහා, කල් ඉකුත්වීම පසු අන්තය සහ ඉදිරිපස සඳහා සකසා ඇති උපරිම අගයට වෙනස් කර ඇත.
  • DBM ගොනු විවෘත කිරීම සහ DBM ධාවක පූරණය කිරීම වෙනම හැසිරවීම. බිඳවැටීමකදී, ලොගය දැන් දෝෂය සහ ධාවකය පිළිබඳ වඩාත් සවිස්තරාත්මක තොරතුරු පෙන්වයි.
  • mod_md විසින් /.well-known/acme-challenge/ වෙත ඉල්ලීම් සැකසීම නතර කළේ වසම් සැකසීම් පැහැදිලිවම 'http-01' අභියෝග වර්ගය භාවිතා කිරීම සක්‍රීය කරන්නේ නම් මිස.
  • mod_dav විසින් විශාල සම්පත් ප්‍රමාණයක් සකසන විට අධික මතක පරිභෝජනයට හේතු වූ ප්‍රතිගාමී වීමක් සවි කර ඇත.
  • සාමාන්‍ය ප්‍රකාශන සැකසීම සඳහා pcre (2.x) වෙනුවට pcre10 (8.x) පුස්තකාලය භාවිතා කිරීමේ හැකියාව එක් කරන ලදී.
  • LDAP ආදේශන ප්‍රහාර උත්සාහ කරන විට දත්ත නිවැරදිව තිරගත කිරීම සඳහා විමසුම් පෙරහන් වෙත LDAP විෂමතා විශ්ලේෂණය සඳහා සහය එක් කර ඇත.
  • mpm_event වලදී, නැවත ආරම්භ කිරීමේදී හෝ අධික ලෙස පටවා ඇති පද්ධති මත MaxConnectionsPerChild සීමාව ඉක්මවන විට සිදුවන අවහිරයක් නිරාකරණය කර ඇත.

මූලාශ්රය: opennet.ru

අදහස් එක් කරන්න