ProHoster > Blog > ахбори интернет > Нашри сервери Apache 2.4.53 http бо рафъи осебпазириҳои хатарнок

Нашри сервери Apache 2.4.53 http бо рафъи осебпазириҳои хатарнок

Сервери HTTP Apache 2.4.53 бароварда шуд, ки 14 тағирот ворид мекунад ва 4 осебпазириро аз байн мебарад:

  • CVE-2022-22720 - имкони анҷом додани ҳамлаи "Кочоқи дархости HTTP", ки имкон медиҳад тавассути фиристодани дархостҳои муштарӣ ба мундариҷаи дархостҳои корбарони дигар тавассути mod_proxy интиқол дода шавад (масалан, шумо метавонед ворид кардани коди зараровари JavaScript ба сессияи корбари дигари сайт). Мушкилот дар он аст, ки пайвастҳои воридотӣ пас аз ба амал омадани хатогиҳо ҳангоми коркарди мақоми дархости беэътибор кушода мондаанд.
  • CVE-2022-23943 Зиёдшавии буфер дар модули mod_sed имкон медиҳад, ки мундариҷаи хотираи теппа бо маълумоти аз ҷониби ҳамлагар назоратшаванда бар нав навишта шавад.
  • CVE-2022-22721 Эҳтимолияти навиштани берун аз ҳудуд бо сабаби фаромадани ададҳои бутун, ки ҳангоми интиқоли маҷмӯаи дархост аз 350 МБ калонтар рух медиҳад. Мушкилот дар системаҳои 32-бит пайдо мешавад, ки дар танзимоти онҳо арзиши LimitXMLRequestBody хеле баланд гузошта шудааст (бо нобаёнӣ 1 МБ, барои ҳамла маҳдудият бояд аз 350 МБ зиёд бошад).
  • CVE-2022-22719 осебпазирии mod_lua мебошад, ки имкон медиҳад, ки хотираи тасодуфӣ хонда шавад ва раванди садама ҳангоми коркарди мақоми дархости махсус таҳияшуда. Мушкилот аз истифодаи арзишҳои ибтидонашуда дар рамзи функсияи r: parsebody ба вуҷуд омадааст.

Тағйироти муҳимтарин дар соҳаи амният:

  • Дар mod_proxy маҳдудияти шумораи аломатҳои номи коргар (коргар) зиёд карда шудааст. Имконияти ба таври интихобӣ танзим кардани вақтхушиҳо барои пушти сар ва фронт (масалан, дар робита бо коргар) илова карда шуд. Барои дархостҳое, ки тавассути вебсокетҳо ё усули CONNECT ирсол мешаванд, вақти танаффус ба арзиши ҳадди аксар барои пуштибонӣ ва фронтӣ муқаррар карда шудааст.
  • Коркарди кушодани файлҳои DBM ва боркунии драйвери DBM ҷудо карда шудааст. Дар сурати нокомӣ, гузориш ҳоло маълумоти муфассалро дар бораи хато ва ронанда нишон медиҳад.
  • mod_md коркарди дархостҳоро ба /.well-known/acme-challenge/ қатъ кардааст, агар танзимоти домен истифодаи навъи санҷиши 'http-01'-ро ба таври возеҳ имкон надиҳанд.
  • Mod_dav регрессияро ислоҳ кард, ки ҳангоми коркарди миқдори зиёди захираҳо истеъмоли зиёди хотираро ба вуҷуд овард.
  • Имконияти истифодаи китобхонаи pcre2 (10.x) ба ҷои pcre (8.x) барои коркарди ифодаҳои муқаррарӣ илова карда шуд.
  • Дастгирии таҳлили аномалия барои протоколи LDAP барои дархости филтрҳо барои дуруст намоиш додани маълумот ҳангоми кӯшиши анҷом додани ҳамлаҳои ивазкунандаи LDAP илова карда шудааст.
  • Дар mpm_event, бунбаст, ки ҳангоми аз нав оғоз кардан ё зиёд шудани маҳдудияти MaxConnectionsPerChild дар системаҳои пурбор рух медиҳад, бартараф карда шуд.

Манбаъ: opennet.ru

Илова Эзоҳ