ProHoster > Π‘Π»ΠΎΠ³ > wararka internetka > Siideynta Apache 2.4.53 http server-ka iyadoo la tirtirayo dayacanka khatarta ah

Siideynta Apache 2.4.53 http server-ka iyadoo la tirtirayo dayacanka khatarta ah

Server-ka Apache HTTP 2.4.53 waa la siidaayay, isagoo soo bandhigaya 14 isbedel oo meesha ka saaraya 4 dayacan:

  • CVE-2022-22720 - suurtagalnimada fulinta weerarka "Codsiga Tahriibka HTTP", kaas oo u oggolaanaya, adoo diraya codsiyada macaamiisha si gaar ah loo qaabeeyey, in lagu dhex galo waxyaabaha ku jira codsiyada isticmaaleyaasha kale ee lagu gudbiyo mod_proxy (tusaale ahaan, waxaad ku guuleysan kartaa gelinta koodka JavaScript xaasidnimada leh ee fadhiga isticmaale kale ee goobta). Dhibaatadu waxa ay keentaa in ay furmaan xidhidhka soo gala ka dib marka ay khaladaad dhacaan inta lagu jiro socodsiinta hay'ad codsi aan ansax ahayn.
  • CVE-2022-23943 Qulqulka buuxdhaafka ah ee moduleka mod_sed wuxuu u oggolaanayaa waxa ku jira xusuusta tuulan in lagu dul qoro xogta weeraryahanku gacanta ku hayo.
  • CVE-2022-22721 Waxaa jira suurtagal ah in la qoro xadka ka baxsan sababtoo ah qulqulka isugeynta ee dhacaya marka la gudbiyo codsi ka weyn 350MB. Dhibaatadu waxay ka muuqataa nidaamyada 32-bit ee goobaha kaas oo qiimaha LimitXMLRequestBody loo dejiyay mid aad u sarreeya (sida caadiga ah 1 MB, weerarka xadka waa inuu ka sarreeyaa 350 MB).
  • CVE-2022-22719 waa u nuglaanshaha mod_lua taas oo u ogolaanaysa in la akhriyo xusuusta random iyo shil habsocod ah marka la farsameynayo hay'ad codsi oo si gaar ah loo farsameeyay. Dhibaatada waxaa keenay isticmaalka qiyamka aan la aqoon ee r: parsebody code function.

Isbeddellada ugu caansan ee aan amniga ahayn:

  • In mod_proxy, xadka tirada xarfaha ee magaca shaqaalaha (shaqaale) waa la kordhiyay. Waxaa lagu daray awoodda xulashada waqti-daynta ee dhabarka dambe iyo kan hore (tusaale, marka la eego shaqaalaha). Codsiyada lagu soo diro websockets ama habka CONNECT, wakhtiga wakhtigu waxa loo bedelay qiimaha ugu badan ee loo dejiyay dhabarka iyo hore.
  • Habaynta furitaanka faylalka DBM iyo rarista darawalka DBM waa la kala saaray. Haddii ay dhacdo guuldarro, loggu hadda wuxuu soo bandhigayaa macluumaad faahfaahsan oo ku saabsan qaladka iyo darawalka.
  • Mod_md waxa uu joojiyey socodsiinta codsiyada /.well-known/acme-challenge/ ilaa goobaha domainka ay si cad u suurta geliyeen isticmaalka nooca xaqiijinta 'http-01'.
  • Mod_dav waxa uu dejiyay dib u dhac sababay isticmaalka xusuusta sare marka la maaraynayo tiro badan oo agab ah.
  • Waxaa lagu daray awoodda isticmaalka pcre2 (10.x) maktabadda halkii laga isticmaali lahaa pcre (8.x) si loo habeeyo tibaaxaha caadiga ah.
  • Taageerada falanqaynta anomaly ee borotokoolka LDAP ayaa lagu daray si loo codsado filtarrada si sax ah loo baadho xogta marka la isku dayayo in la fuliyo weerarrada beddelka LDAP.
  • mpm_event gudaheeda, xidhidhaanka dhaca marka dib loo bilaabo ama ka badan yahay xadka MaxConnectionsPerChild ee nidaamyada aadka u raran waa la tirtiray.

Source: opennet.ru

Add a comment