ПроХостер > блог > интернет вести > Апацхе 2.4.53 хттп сервер издање са исправљеним опасним рањивостима

Апацхе 2.4.53 хттп сервер издање са исправљеним опасним рањивостима

Објављено је издање Апацхе ХТТП сервера 2.4.53 које уводи 14 измена и исправља 4 рањивости:

  • ЦВЕ-2022-22720 - могућност извођења ХТТП Рекуест Смугглинг напада, који омогућава да се слањем посебно дизајнираних захтева клијената увуче у садржај захтева других корисника који се преносе преко мод_проки (на пример, можете постићи замену злонамерних ЈаваСцрипт код у сесију другог корисника сајта). Проблем је узрокован остављањем отворених долазних веза након наиласка на грешке током обраде неважећег тела захтева.
  • ЦВЕ-2022-23943 – Преливање бафера у модулу мод_сед који омогућава преписивање садржаја хеап меморије подацима које контролише нападач.
  • ЦВЕ-2022-22721 – Записивање ван граница због преливања целог броја до којег долази када се проследи тело захтева већег од 350 МБ. Проблем се манифестује на 32-битним системима у чијим је подешавањима вредност ЛимитКСМЛРекуестБоди постављена превисоко (подразумевано 1 МБ, за напад ограничење мора бити веће од 350 МБ).
  • ЦВЕ-2022-22719 је рањивост у мод_луа која омогућава читање насумичних меморијских подручја и рушење процеса приликом обраде посебно направљеног тела захтева. Проблем је узрокован употребом неиницијализованих вредности у коду функције р:парсебоди.

Најзначајније промене које се не односе на безбедност су:

  • У мод_проки, ограничење броја знакова у имену руковаоца (радника) је повећано. Додата је могућност селективног конфигурисања временских ограничења за бацкенд и фронтенд (на пример, у односу на радника). За захтеве послате преко вебсоцкета или методе ЦОННЕЦТ, временско ограничење је промењено на максималну вредност постављену за бацкенд и фронтенд.
  • Одвојено руковање отварањем ДБМ датотека и учитавањем ДБМ драјвера. У случају пада, дневник сада приказује детаљније информације о грешци и управљачком програму.
  • мод_мд је престао да обрађује захтеве за /.велл-кновн/ацме-цхалленге/ осим ако подешавања домена експлицитно нису омогућила коришћење типа изазова 'хттп-01'.
  • мод_дав је поправио регресију која је изазвала велику потрошњу меморије при обради великог броја ресурса.
  • Додата је могућност коришћења библиотеке пцре2 (10.к) уместо пцре (8.к) за обраду регуларних израза.
  • Подршка за анализу ЛДАП аномалија је додата филтерима упита за исправан преглед података приликом покушаја напада замене ЛДАП-а.
  • У мпм_евент, исправљена је блокада која се јавља приликом поновног покретања или прекорачења МакЦоннецтионсПерЦхилд ограничења на високо оптерећеним системима.

Извор: опеннет.ру

Додај коментар