ProHoster > Blog > litaba tsa inthanete > Apache 2.4.53 http ea ho lokolloa ha seva e nang le bofokoli bo kotsi bo tsitsitseng

Apache 2.4.53 http ea ho lokolloa ha seva e nang le bofokoli bo kotsi bo tsitsitseng

Ho lokolloa ha Apache HTTP Server 2.4.53 ho hatisitsoe, e hlahisang liphetoho tse 14 le ho lokisa bofokoli ba 4:

  • CVE-2022-22720 - monyetla oa ho etsa tlhaselo ea HTTP Request Smuggling, e lumellang, ka ho romela likōpo tse khethehileng tsa bareki, ho kenella ka har'a likopo tsa basebelisi ba bang tse fetisitsoeng ka mod_proxy (mohlala, o ka finyella ho nkela sebaka se kotsi. JavaScript ka har'a lenaneo la mosebelisi e mong oa sebaka sa marang-rang). Bothata bo bakoa ke ho tlohela likhokahano tse kenang tse bulehileng ka mor'a ho kopana le liphoso ha u ntse u sebetsana le sehlopha se sa sebetseng sa kopo.
  • CVE-2022-23943 - Buffer e phalla ka har'a mod_sed module e lumellang ho hlakola litaba tsa memori ea qubu ka data e laoloang ke bahlaseli.
  • CVE-2022-22721 - Ngola ho tsoa meeding ka lebaka la palo e felletseng e tlalang e etsahalang ha ho fetisa kopo e kholo ho feta 350MB. Bothata bo iponahatsa ho litsamaiso tsa 32-bit tseo ho tsona boleng ba LimitXMLRequestBody bo behiloeng holimo haholo (ka ho sa feleng 1 MB, bakeng sa tlhaselo moeli o tlameha ho ba holimo ho 350 MB).
  • CVE-2022-22719 ke ts'oaetso ho mod_lua e lumellang ho bala libaka tsa mohopolo o sa reroang le ho senya ts'ebetso ha o ntse o sebetsana le sehlopha sa kopo se entsoeng ka mokhoa o ikhethileng. Bothata bo bakoa ke ts'ebeliso ea boleng bo sa tsejoeng ho r: khoutu ea tšebetso ea parsebody.

Liphetoho tse hlokomelehang haholo tse sa sireletsehang ke:

  • Ho mod_proxy, moeli oa palo ea litlhaku ka lebitso la motho ea sebetsang (mosebetsi) o eketsehile. E kenyellelitse bokhoni ba ho khetha nako ea ho qeta nako bakeng sa backend le frontend (mohlala, mabapi le mosebeletsi). Bakeng sa likopo tse rometsoeng ka li-websockets kapa mokhoa oa CONNECT, nako ea ho qeta nako e fetotsoe ho boleng bo phahameng bo behiloeng bakeng sa backend le frontend.
  • Karohano ea ho sebetsana le ho bula lifaele tsa DBM le ho kenya mokhanni oa DBM. Ha ho ka ba le kotsi, log hona joale e bontša lintlha tse qaqileng haholoanyane mabapi le phoso le mokhanni.
  • mod_md e emisitse likopo tsa ho sebetsa ho /.well-known/acme-challenge/ ntle le haeba maemo a domain a nolofalitse ka ho hlaka tšebeliso ea mofuta oa phephetso ea 'http-01'.
  • mod_dav e ile ea lokisa khatello e bakileng tšebeliso e phahameng ea memori ha e sebetsana le lisebelisoa tse ngata.
  • E kentse bokhoni ba ho sebelisa laebrari ea pcre2 (10.x) sebakeng sa pcre (8.x) bakeng sa ho sebetsana le lipolelo tse tloaelehileng.
  • Tšehetso bakeng sa tlhahlobo e sa nepahaleng ea LDAP e kentsoe lihloeng tsa lipotso ho hlahloba lintlha ka nepo ha ho leka litlhaselo tse ling tsa LDAP.
  • Ho mpm_event, thipa e etsahalang ha ho qala bocha kapa ho feta moeli oa MaxConnectionsPerChild lits'ebetsong tse jarollotsoeng haholo e lokisitsoe.

Source: opennet.ru

Eketsa ka tlhaloso