புரோஹோஸ்டர் > Блог > இணைய செய்தி > Apache 2.4.54 http சேவையக வெளியீடு பாதிப்புகளுடன் சரி செய்யப்பட்டது

Apache 2.4.54 http சேவையக வெளியீடு பாதிப்புகளுடன் சரி செய்யப்பட்டது

Apache HTTP சர்வர் 2.4.53 வெளியிடப்பட்டது, 19 மாற்றங்களை அறிமுகப்படுத்தி 8 பாதிப்புகளை நீக்குகிறது:

  • CVE-2022-31813 என்பது mod_proxy இல் உள்ள பாதிப்பாகும், இது அசல் கோரிக்கை வந்த IP முகவரி பற்றிய தகவலுடன் X-Forwarded-* தலைப்புகளை அனுப்புவதைத் தடுக்க உங்களை அனுமதிக்கிறது. ஐபி முகவரிகளின் அடிப்படையில் அணுகல் கட்டுப்பாடுகளைத் தவிர்ப்பதற்குச் சிக்கலைப் பயன்படுத்தலாம்.
  • CVE-2022-30556 என்பது mod_lua இல் உள்ள பாதிப்பாகும், இது Lua ஸ்கிரிப்ட்களில் r:wsread() செயல்பாட்டைக் கையாளுவதன் மூலம் ஒதுக்கப்பட்ட இடையகத்திற்கு வெளியே தரவை அணுக அனுமதிக்கிறது.
  • CVE-2022-30522 – mod_sed தொகுதி மூலம் குறிப்பிட்ட தரவைச் செயலாக்கும்போது சேவை மறுப்பு (கிடைக்கும் நினைவக சோர்வு).
  • CVE-2022-29404 என்பது r:parsebody(0) அழைப்பைப் பயன்படுத்தி Lua கையாளுபவர்களுக்கு பிரத்யேகமாக வடிவமைக்கப்பட்ட கோரிக்கைகளை அனுப்புவதன் மூலம் mod_lua இல் பயன்படுத்தப்படும் சேவை மறுப்பு ஆகும்.
  • CVE-2022-28615, CVE-2022-28614 – ap_strcmp_match() மற்றும் ap_rwrite() செயல்பாடுகளில் உள்ள பிழைகள் காரணமாக, இடையக எல்லைக்கு அப்பாற்பட்ட பகுதியில் இருந்து படிக்கப்படும் போது, ​​சேவை மறுப்பு அல்லது செயல்முறை நினைவகத்தில் உள்ள தரவுக்கான அணுகல்.
  • CVE-2022-28330 - mod_isapi இல் உள்ள எல்லைக்கு அப்பாற்பட்ட இடையகப் பகுதிகளிலிருந்து தகவல் கசிவு (விண்டோஸ் இயங்குதளத்தில் மட்டுமே சிக்கல் ஏற்படுகிறது).
  • CVE-2022-26377 – mod_proxy_ajp தொகுதி HTTP கோரிக்கை கடத்தல் தாக்குதலுக்கு ஆளாகிறது.

மிகவும் குறிப்பிடத்தக்க பாதுகாப்பு அல்லாத மாற்றங்கள்:

  • mod_ssl ஆனது SSLFIPS பயன்முறையை OpenSSL 3.0 உடன் இணக்கமாக்குகிறது.
  • ab பயன்பாடு TLSv1.3 ஐ ஆதரிக்கிறது (இந்த நெறிமுறையை ஆதரிக்கும் ஒரு SSL நூலகத்துடன் இணைக்க வேண்டும்).
  • mod_md இல், MDCertificateAuthority உத்தரவு ஒன்றுக்கு மேற்பட்ட CA பெயர்கள் மற்றும் URL ஐ அனுமதிக்கிறது. புதிய வழிமுறைகள் சேர்க்கப்பட்டுள்ளன: MDRetryDelay (மறுமுயற்சி கோரிக்கையை அனுப்பும் முன் தாமதத்தை வரையறுக்கிறது) மற்றும் MDRetryFailover (மாற்று சான்றிதழ் அதிகாரத்தைத் தேர்ந்தெடுக்கும் முன் தோல்வி ஏற்பட்டால் மீண்டும் முயற்சிகளின் எண்ணிக்கையை வரையறுக்கிறது). "விசை: மதிப்பு" வடிவத்தில் மதிப்புகளை வெளியிடும் போது "தானியங்கு" நிலைக்கு ஆதரவு சேர்க்கப்பட்டது. டெயில்ஸ்கேல் பாதுகாப்பான VPN நெட்வொர்க்கின் பயனர்களுக்கு சான்றிதழ்களை நிர்வகிக்கும் திறனை வழங்குகிறது.
  • mod_http2 தொகுதி பயன்படுத்தப்படாத மற்றும் பாதுகாப்பற்ற குறியீட்டிலிருந்து சுத்தம் செய்யப்பட்டுள்ளது.
  • mod_proxy ஆனது பதிவில் எழுதப்பட்ட பிழை செய்திகளில் பின்தள நெட்வொர்க் போர்ட் பிரதிபலிக்கப்படுவதை உறுதி செய்கிறது.
  • mod_heartmonitor இல், HeartbeatMaxServers அளவுருவின் மதிப்பு 0 இலிருந்து 10 ஆக மாற்றப்பட்டுள்ளது (10 பகிரப்பட்ட நினைவக இடங்களைத் துவக்குகிறது).

ஆதாரம்: opennet.ru

கருத்தைச் சேர்