ProHoster > Blog > warta internét > Apache 2.4.53 http server release kalawan kerentanan bahaya dibereskeun

Apache 2.4.53 http server release kalawan kerentanan bahaya dibereskeun

Pelepasan Apache HTTP Server 2.4.53 parantos diterbitkeun, anu ngenalkeun 14 parobihan sareng ngalereskeun 4 kerentanan:

  • CVE-2022-22720 - kamungkinan ngalakukeun serangan HTTP Request Smuggling, anu ngamungkinkeun, ku ngirim requests klien nu dirancang husus, ngaganjel kana eusi requests pamaké séjén dikirimkeun via mod_proxy (contona, anjeun bisa ngahontal substitusi tina jahat. kode JavaScript kana sési pamaké séjén loka éta). Masalahna disababkeun ku ngantunkeun sambungan anu asup kabuka saatos mendakan kasalahan nalika ngolah badan pamundut anu teu sah.
  • CVE-2022-23943 - A mudal panyangga dina modul mod_sed nu ngidinan overwriting eusi mémori numpuk jeung data dikawasa lawan.
  • CVE-2022-22721 - Tulis kaluar tina bounds alatan hiji integer ngabahekeun nu lumangsung nalika ngalirkeun requests awak leuwih badag batan 350MB. Masalahna manifests sorangan dina sistem 32-bit dina setélan nu nilai LimitXMLRequestBody diatur teuing tinggi (sacara standar 1 MB, pikeun serangan wates kudu leuwih luhur ti 350 MB).
  • CVE-2022-22719 mangrupikeun kerentanan dina mod_lua anu ngamungkinkeun maca daérah memori acak sareng ngadat prosés nalika ngolah badan pamundut anu didamel khusus. Masalahna disababkeun ku pamakéan nilai uninitialized dina r:kode fungsi parsebody.

Parobahan non-kaamanan anu paling kasohor nyaéta:

  • Dina mod_proxy, wates jumlah karakter dina nami pawang (pagawe) parantos ningkat. Ditambahkeun kamampuhan pikeun selektif ngonpigurasikeun timeouts pikeun backend na frontend (contona, dina hubungan worker a). Pikeun requests dikirim via websockets atawa metoda CONNECT, timeout geus dirobah kana nilai maksimum diatur pikeun backend na frontend.
  • Penanganan misah pikeun muka file DBM sareng ngamuat supir DBM. Upami aya kacilakaan, log ayeuna nunjukkeun inpormasi anu langkung rinci ngeunaan kasalahan sareng supir.
  • mod_md dieureunkeun ngolah requests kana /.well-known/acme-challenge/ iwal setélan domain eksplisit diaktipkeun pamakéan tipe tantangan 'http-01'.
  • mod_dav ngalereskeun régrési anu nyababkeun konsumsi mémori anu luhur nalika ngolah sajumlah ageung sumber.
  • Ditambahkeun kamampuhan pikeun ngagunakeun pcre2 (10.x) perpustakaan tinimbang pcre (8.x) pikeun ngolah ekspresi biasa.
  • Rojongan pikeun analisis anomali LDAP geus ditambahkeun kana saringan query pikeun leres nyaring data nalika nyobian serangan substitusi LDAP.
  • Dina mpm_event, jalan buntu anu lumangsung nalika ngamimitian deui atanapi ngaleuwihan wates MaxConnectionsPerChild dina sistem anu sarat pisan parantos dibenerkeun.

sumber: opennet.ru

Tambahkeun komentar