ProHoster > blogg > internetnyheter > Apache 2.4.54 http-serverversion med sårbarheter fixade

Apache 2.4.54 http-serverversion med sårbarheter fixade

Apache 2.4.53 HTTP-serverversionen har publicerats, som introducerar 19 ändringar och åtgärdar 8 sårbarheter:

  • CVE-2022-31813 är en sårbarhet i mod_proxy som kan blockera sändningen av X-Forwarded-*-rubriker med information om IP-adressen från vilken den ursprungliga begäran kom. Problemet kan användas för att kringgå åtkomstbegränsningar baserat på IP-adresser.
  • CVE-2022-30556 är en sårbarhet i mod_lua som tillåter åtkomst till data utanför den allokerade bufferten genom manipulationer med funktionen r:wsread() i Lua-skript.
  • CVE-2022-30522 - Denial of service (utom tillgängligt minne) vid bearbetning av vissa data av mod_sed.
  • CVE-2022-29404 - mod_lua denial of service som utnyttjas genom att skicka specialgjorda förfrågningar till Lua-hanterare med anropet r:parsebody(0).
  • CVE-2022-28615, CVE-2022-28614 - Denial of service eller åtkomst till data i processminnet på grund av fel i funktionerna ap_strcmp_match() och ap_rwrite(), vilket resulterar i läsning från en region utanför buffertgränsen.
  • CVE-2022-28330 - Out-of-bounds informationsläcka i mod_isapi (problemet visas bara på Windows-plattformen).
  • CVE-2022-26377 - Mod_proxy_ajp-modulen är känslig för "HTTP Request Smuggling"-attacker på front-end-backend-system som tillåter att innehållet i andra användares förfrågningar infiltreras på samma tråd mellan front-end och back-end .

De mest anmärkningsvärda icke-säkerhetsändringarna är:

  • mod_ssl gör SSLFIPS-läget kompatibelt med OpenSSL 3.0.
  • Verktyget ab implementerar stöd för TLSv1.3 (kräver bindning till ett SSL-bibliotek som stöder detta protokoll).
  • I mod_md tillåter MDCertificateAuthority-direktivet mer än ett CA-namn och URL. Nya direktiv har lagts till: MDRetryDelay (definierar fördröjningen innan en begäran om återförsök skickas) och MDRetryFailover (definierar antalet återförsök i händelse av misslyckande innan man väljer en alternativ CA). Lagt till stöd för "auto"-tillståndet vid visning av värden i formatet "nyckel: värde". Tillhandahöll möjligheten att hantera certifikat för Tailscale-säkra VPN-användare.
  • Mod_http2-modulen har rensats från oanvänd och osäker kod.
  • mod_proxy ger reflektion av backend-nätverksporten i felmeddelanden som skrivs till loggen.
  • I mod_heartmonitor har värdet på parametern HeartbeatMaxServers ändrats från 0 till 10 (initiering av 10 delade minnesplatser).

Källa: opennet.ru

Lägg en kommentar