Ang paglabas ng Apache HTTP Server 2.4.53 ay nai-publish, na nagpapakilala ng 14 na pagbabago at nag-aayos ng 4 na mga kahinaan:
- CVE-2022-22720 - ang posibilidad na magsagawa ng HTTP Request Smuggling na pag-atake, na nagbibigay-daan, sa pamamagitan ng pagpapadala ng mga espesyal na idinisenyong kahilingan ng kliyente, na i-wedge sa nilalaman ng mga kahilingan ng ibang mga user na ipinadala sa pamamagitan ng mod_proxy (halimbawa, maaari mong makamit ang pagpapalit ng malisyosong JavaScript code sa session ng isa pang user ng site). Ang problema ay sanhi ng pag-iiwan ng bukas na mga papasok na koneksyon pagkatapos makatagpo ng mga error habang pinoproseso ang isang di-wastong katawan ng kahilingan.
- CVE-2022-23943 - Isang buffer overflow sa mod_sed module na nagbibigay-daan sa pag-overwrite sa mga nilalaman ng heap memory gamit ang data na kinokontrol ng attacker.
- CVE-2022-22721 - Sumulat ng out of bounds dahil sa isang integer overflow na nangyayari kapag nagpasa ng request body na mas malaki sa 350MB. Ang problema ay nagpapakita mismo sa mga 32-bit na system kung saan ang mga setting ng LimitXMLRequestBody na halaga ay nakatakdang masyadong mataas (bilang default na 1 MB, para sa isang pag-atake ang limitasyon ay dapat na mas mataas sa 350 MB).
- Ang CVE-2022-22719 ay isang kahinaan sa mod_lua na nagbibigay-daan sa pagbabasa ng mga random na lugar ng memorya at pag-crash sa proseso kapag nagpoproseso ng isang espesyal na ginawang katawan ng kahilingan. Ang problema ay sanhi ng paggamit ng mga hindi inisyal na halaga sa r:parsebody function code.
Ang pinaka-kapansin-pansing mga pagbabagong hindi pangseguridad ay:
- Sa mod_proxy, ang limitasyon sa bilang ng mga character sa pangalan ng handler (manggagawa) ay nadagdagan. Nagdagdag ng kakayahang piliing i-configure ang mga timeout para sa backend at frontend (halimbawa, may kaugnayan sa isang manggagawa). Para sa mga kahilingang ipinadala sa pamamagitan ng mga websocket o paraan ng CONNECT, ang timeout ay binago sa maximum na halaga na itinakda para sa backend at frontend.
- Hiwalay na pangangasiwa sa pagbubukas ng mga DBM file at paglo-load ng DBM driver. Sa kaganapan ng isang pag-crash, ang log ay nagpapakita na ngayon ng mas detalyadong impormasyon tungkol sa error at ang driver.
- Ang mod_md ay huminto sa pagproseso ng mga kahilingan sa /.well-known/acme-challenge/ maliban kung ang mga setting ng domain ay tahasang pinagana ang paggamit ng 'http-01' na uri ng hamon.
- inayos ng mod_dav ang isang regression na nagdulot ng mataas na pagkonsumo ng memory kapag nagpoproseso ng malaking bilang ng mga mapagkukunan.
- Nagdagdag ng kakayahang gamitin ang pcre2 (10.x) library sa halip na pcre (8.x) para sa pagproseso ng mga regular na expression.
- Ang suporta para sa pagsusuri ng anomalya ng LDAP ay idinagdag sa mga filter ng query upang mai-screen nang tama ang data kapag sinusubukan ang mga pag-atake sa pagpapalit ng LDAP.
- Sa mpm_event, naayos na ang deadlock na nangyayari kapag nag-restart o lumampas sa limitasyon ng MaxConnectionsPerChild sa mga system na mataas ang load.
Pinagmulan: opennet.ru