ProHoster > Blog > internetne novice > Izdaja http strežnika Apache 2.4.53 z odpravo nevarnih ranljivosti

Izdaja http strežnika Apache 2.4.53 z odpravo nevarnih ranljivosti

Izdan je bil strežnik HTTP Apache 2.4.53, ki uvaja 14 sprememb in odpravlja 4 ranljivosti:

  • CVE-2022-22720 - možnost izvajanja napada »HTTP Request Smuggling«, ki omogoča, da se s pošiljanjem posebej zasnovanih zahtev odjemalcev zagozdi v vsebino zahtev drugih uporabnikov, poslanih prek mod_proxy (na primer, lahko dosežete vstavljanje zlonamerne kode JavaScript v sejo drugega uporabnika spletnega mesta). Težava je posledica tega, da so dohodne povezave odprte, potem ko pride do napak med obdelavo neveljavnega telesa zahteve.
  • CVE-2022-23943 Prekoračitev medpomnilnika v modulu mod_sed omogoča, da se vsebina pomnilnika kopice prepiše s podatki, ki jih nadzoruje napadalec.
  • CVE-2022-22721 Možno je pisanje izven meja zaradi prekoračitve celega števila, do katere pride pri posredovanju telesa zahteve, večjega od 350 MB. Težava se pojavi pri 32-bitnih sistemih, v katerih je v nastavitvah postavljena previsoka vrednost LimitXMLRequestBody (privzeto 1 MB, za napad mora biti omejitev višja od 350 MB).
  • CVE-2022-22719 je ranljivost v mod_lua, ki omogoča naključno branje pomnilnika in zrušitev procesa pri obdelavi posebej oblikovanega telesa zahteve. Težavo povzroča uporaba neinicializiranih vrednosti v funkcijski kodi r:parsebody.

Najbolj opazne spremembe, ki niso povezane z varnostjo:

  • V mod_proxy je povečana omejitev števila znakov v imenu delavca (delavca). Dodana možnost selektivnega konfiguriranja časovnih omejitev za zaledje in sprednji del (na primer v povezavi z delavcem). Za zahteve, poslane prek spletnih vtičnic ali metode CONNECT, je bil čas časovne omejitve spremenjen na največjo vrednost, nastavljeno za zaledje in sprednji del.
  • Obdelava odpiranja datotek DBM in nalaganja gonilnika DBM je ločena. V primeru okvare dnevnik zdaj prikaže podrobnejše informacije o napaki in gonilniku.
  • mod_md je prenehal obdelovati zahteve za /.well-known/acme-challenge/, razen če so nastavitve domene izrecno omogočile uporabo vrste preverjanja 'http-01'.
  • Mod_dav je popravil regresijo, ki je povzročila veliko porabo pomnilnika pri ravnanju z velikim številom virov.
  • Dodana možnost uporabe knjižnice pcre2 (10.x) namesto pcre (8.x) za obdelavo regularnih izrazov.
  • Dodana je bila podpora za analizo anomalij za protokol LDAP za zahtevanje filtrov za pravilno preverjanje podatkov pri poskusu izvajanja napadov z zamenjavo LDAP.
  • V mpm_event je bil odpravljen zastoj, ki se pojavi pri ponovnem zagonu ali prekoračitvi omejitve MaxConnectionsPerChild v močno obremenjenih sistemih.

Vir: opennet.ru

Dodaj komentar