ProHoster > blog > habari za mtandao > Utoaji wa seva ya Apache 2.4.54 http na udhaifu umewekwa

Utoaji wa seva ya Apache 2.4.54 http na udhaifu umewekwa

Seva ya Apache HTTP 2.4.53 imetolewa, ikileta mabadiliko 19 na kuondoa udhaifu 8:

  • CVE-2022-31813 ni hatari katika mod_proksi inayokuruhusu kuzuia utumaji wa vichwa vya X-Forwarded-* vyenye maelezo kuhusu anwani ya IP ambayo ombi la awali lilitoka. Tatizo linaweza kutumika kukwepa vizuizi vya ufikiaji kulingana na anwani za IP.
  • CVE-2022-30556 ni hatari katika mod_lua ambayo inaruhusu ufikiaji wa data nje ya bafa iliyotengwa kupitia upotoshaji wa chaguo la kukokotoa la r:wsread() katika hati za Lua.
  • CVE-2022-30522 - Kunyimwa kwa huduma (uchovu wa kumbukumbu unaopatikana) wakati wa kusindika data fulani na moduli ya mod_sed.
  • CVE-2022-29404 ni kunyimwa huduma katika mod_lua iliyotumiwa kwa kutuma maombi yaliyoundwa mahususi kwa vidhibiti vya Lua kwa kutumia r:parsebody(0) simu.
  • CVE-2022-28615, CVE-2022-28614 - Kunyimwa huduma au ufikiaji wa data katika kumbukumbu ya mchakato kwa sababu ya hitilafu katika chaguo za kukokotoa za ap_strcmp_match() na ap_rwrite(), na kusababisha kusomwa kutoka eneo lililo nje ya mpaka wa bafa.
  • CVE-2022-28330 - Uvujaji wa habari kutoka kwa maeneo ya bafa ya nje ya mipaka katika mod_isapi (suala hutokea kwenye jukwaa la Windows pekee).
  • CVE-2022-26377 – Mod_proxy_ajp moduli inaweza kuathiriwa na Mashambulizi ya Usafirishaji ya Ombi la HTTP kwenye mifumo ya mazingira ya mbele, ambayo huiruhusu kujiingiza kwenye maudhui ya maombi ya watumiaji wengine yanayochakatwa kwenye uzi ule ule kati ya sehemu ya mbele na ya nyuma.

Mabadiliko muhimu zaidi yasiyo ya usalama:

  • mod_ssl hufanya hali ya SSLFIPS iendane na OpenSSL 3.0.
  • Huduma ya ab inaauni TLSv1.3 (inahitaji kuunganishwa na maktaba ya SSL inayotumia itifaki hii).
  • Katika mod_md, maagizo ya MDCertificateAuthority inaruhusu zaidi ya jina moja la CA na URL. Maagizo mapya yameongezwa: MDRetryDelay (inafafanua ucheleweshaji kabla ya kutuma ombi la kujaribu tena) na MDRetryFailover (inafafanua idadi ya majaribio tena iwapo kutashindikana kabla ya kuchagua mamlaka mbadala ya uthibitishaji). Usaidizi ulioongezwa kwa hali ya "otomatiki" wakati wa kutoa maadili katika muundo wa "ufunguo: thamani". Ilitoa uwezo wa kudhibiti vyeti kwa watumiaji wa mtandao salama wa VPN wa Tailscale.
  • Mod_http2 moduli imesafishwa kwa msimbo usiotumika na usio salama.
  • mod_proxy huhakikisha kwamba mlango wa mtandao wa nyuma unaonyeshwa katika ujumbe wa makosa ulioandikwa kwenye logi.
  • Katika mod_heartmonitor, thamani ya kigezo cha HeartbeatMaxServers imebadilishwa kutoka 0 hadi 10 (kuanzisha nafasi 10 za kumbukumbu zilizoshirikiwa).

Chanzo: opennet.ru

Kuongeza maoni