ProHoster > Blog > internetne novice > Izdaja http strežnika Apache 2.4.54 z odpravljenimi ranljivostmi

Izdaja http strežnika Apache 2.4.54 z odpravljenimi ranljivostmi

Izdan je bil strežnik HTTP Apache 2.4.53, ki uvaja 19 sprememb in odpravlja 8 ranljivosti:

  • CVE-2022-31813 je ranljivost v mod_proxy, ki vam omogoča, da blokirate pošiljanje glav X-Forwarded-* z informacijami o naslovu IP, s katerega je prišla prvotna zahteva. Težavo je mogoče uporabiti za izogibanje omejitvam dostopa na podlagi naslovov IP.
  • CVE-2022-30556 je ranljivost v mod_lua, ki omogoča dostop do podatkov zunaj dodeljenega medpomnilnika z manipulacijo funkcije r:wsread() v skriptih Lua.
  • CVE-2022-30522 – Zavrnitev storitve (izčrpanost razpoložljivega pomnilnika) pri obdelavi določenih podatkov z modulom mod_sed.
  • CVE-2022-29404 je zavrnitev storitve v mod_lua, ki se izkorišča s pošiljanjem posebej oblikovanih zahtev obdelovalcem Lua s klicem r:parsebody(0).
  • CVE-2022-28615, CVE-2022-28614 – Zavrnitev storitve ali dostop do podatkov v pomnilniku procesa zaradi napak v funkcijah ap_strcmp_match() in ap_rwrite(), kar ima za posledico branje iz območja onkraj meje medpomnilnika.
  • CVE-2022-28330 – Uhajanje informacij iz območij medpomnilnika izven meja v mod_isapi (težava se pojavi samo na platformi Windows).
  • CVE-2022-26377 – Modul mod_proxy_ajp je dovzeten za napade HTTP Request Smuggling na sisteme frontend-backend, kar mu omogoča, da se pretihotapi v vsebino zahtev drugih uporabnikov, obdelanih v isti niti med frontendom in backendom.

Najbolj opazne spremembe, ki niso povezane z varnostjo:

  • mod_ssl naredi način SSLFIPS združljiv z OpenSSL 3.0.
  • Pripomoček ab podpira TLSv1.3 (zahteva povezovanje s knjižnico SSL, ki podpira ta protokol).
  • V mod_md direktiva MDCertificateAuthority dovoljuje več kot eno ime CA in URL. Dodani sta bili novi direktivi: MDRetryDelay (določi zakasnitev pred pošiljanjem zahteve za ponovni poskus) in MDRetryFailover (določi število ponovnih poskusov v primeru neuspeha, preden se izbere alternativni overitelj). Dodana podpora za stanje "samodejno" pri izpisu vrednosti v obliki "ključ: vrednost". Zagotovljena možnost upravljanja potrdil za uporabnike varnega omrežja VPN Tailscale.
  • Modul mod_http2 je bil očiščen neuporabljene in nevarne kode.
  • mod_proxy zagotavlja, da se zaledna omrežna vrata odražajo v sporočilih o napakah, zapisanih v dnevnik.
  • V mod_heartmonitorju je bila vrednost parametra HeartbeatMaxServers spremenjena z 0 na 10 (inicializacija 10 skupnih pomnilniških rež).

Vir: opennet.ru

Dodaj komentar