โปรโฮสต์ > บล็อก > ข่าวทางอินเทอร์เน็ต > เซิร์ฟเวอร์ Apache 2.4.54 http ออกพร้อมการแก้ไขช่องโหว่

เซิร์ฟเวอร์ Apache 2.4.54 http ออกพร้อมการแก้ไขช่องโหว่

เผยแพร่เซิร์ฟเวอร์ Apache 2.4.53 HTTP ซึ่งแสดงการเปลี่ยนแปลง 19 รายการและแก้ไขช่องโหว่ 8 รายการ:

  • CVE-2022-31813 เป็นช่องโหว่ใน mod_proxy ที่ช่วยให้คุณสามารถบล็อกการส่งส่วนหัว X-Forwarded-* พร้อมข้อมูลเกี่ยวกับที่อยู่ IP ที่ส่งคำขอดั้งเดิมมา ปัญหานี้สามารถใช้เพื่อข้ามข้อจำกัดการเข้าถึงตามที่อยู่ IP
  • CVE-2022-30556 เป็นช่องโหว่ใน mod_lua ที่อนุญาตให้เข้าถึงข้อมูลนอกบัฟเฟอร์ที่จัดสรรผ่านการจัดการฟังก์ชัน r:wsread() ในสคริปต์ Lua
  • CVE-2022-30522 - การปฏิเสธการบริการ (หน่วยความจำที่มีอยู่หมด) เมื่อประมวลผลข้อมูลบางอย่างโดยโมดูล mod_sed
  • CVE-2022-29404 เป็นการปฏิเสธการให้บริการใน mod_lua ที่ถูกใช้ประโยชน์โดยการส่งคำขอที่สร้างขึ้นเป็นพิเศษไปยังตัวจัดการ Lua โดยใช้การเรียก r:parsebody(0)
  • CVE-2022-28615, CVE-2022-28614 – การปฏิเสธการบริการหรือการเข้าถึงข้อมูลในหน่วยความจำกระบวนการเนื่องจากข้อผิดพลาดในฟังก์ชัน ap_strcmp_match() และ ap_rwrite() ส่งผลให้มีการอ่านจากพื้นที่นอกขอบเขตบัฟเฟอร์
  • CVE-2022-28330 - การรั่วไหลของข้อมูลจากพื้นที่บัฟเฟอร์นอกขอบเขตใน mod_isapi (ปัญหาเกิดขึ้นบนแพลตฟอร์ม Windows เท่านั้น)
  • CVE-2022-26377 – โมดูล mod_proxy_ajp ไวต่อการโจมตี HTTP Request Smuggling บนระบบ frontend-backend ซึ่งช่วยให้สามารถลักลอบเข้าไปในเนื้อหาของคำขอของผู้ใช้รายอื่นที่ประมวลผลในเธรดเดียวกันระหว่างส่วนหน้าและส่วนหลัง

การเปลี่ยนแปลงที่ไม่ใช่ด้านความปลอดภัยที่โดดเด่นที่สุดคือ:

  • mod_ssl ทำให้โหมด SSLFIPS เข้ากันได้กับ OpenSSL 3.0
  • ยูทิลิตี้ ab รองรับ TLSv1.3 (ต้องเชื่อมโยงกับไลบรารี SSL ที่รองรับโปรโตคอลนี้)
  • ใน mod_md คำสั่ง MDCertificateAuthority อนุญาตให้มีชื่อ CA และ URL มากกว่าหนึ่งชื่อ มีการเพิ่มคำสั่งใหม่: MDRetryDelay (กำหนดความล่าช้าก่อนที่จะส่งคำขอลองใหม่) และ MDRetryFailover (กำหนดจำนวนการลองใหม่ในกรณีที่เกิดความล้มเหลวก่อนที่จะเลือกผู้ออกใบรับรองอื่น) เพิ่มการรองรับสถานะ "อัตโนมัติ" เมื่อส่งออกค่าในรูปแบบ "คีย์: ค่า" ให้ความสามารถในการจัดการใบรับรองสำหรับผู้ใช้เครือข่าย VPN ที่ปลอดภัยของ Tailscale
  • โมดูล mod_http2 ได้รับการล้างโค้ดที่ไม่ได้ใช้และไม่ปลอดภัยแล้ว
  • mod_proxy ทำให้แน่ใจว่าพอร์ตเครือข่ายแบ็กเอนด์แสดงในข้อความแสดงข้อผิดพลาดที่เขียนลงในบันทึก
  • ใน mod_heartmonitor ค่าของพารามิเตอร์ HeartbeatMaxServers ได้ถูกเปลี่ยนจาก 0 เป็น 10 (กำลังเตรียมใช้งานสล็อตหน่วยความจำที่ใช้ร่วมกัน 10 ช่อง)

ที่มา: opennet.ru

เพิ่มความคิดเห็น