ProHoster > Blog > internet yangiliklari > Zaifliklar tuzatilgan Apache 2.4.54 http server relizi

Zaifliklar tuzatilgan Apache 2.4.54 http server relizi

Apache HTTP serveri 2.4.53 chiqarildi, u 19 ta oʻzgartirish kiritdi va 8 ta zaiflikni yoʻq qildi:

  • CVE-2022-31813 mod_proxy-dagi zaiflik bo'lib, u asl so'rov kelgan IP manzili haqidagi ma'lumotlarga ega X-Forwarded-* sarlavhalarini yuborishni bloklash imkonini beradi. Muammo IP-manzillarga asoslangan kirish cheklovlarini chetlab o'tish uchun ishlatilishi mumkin.
  • CVE-2022-30556 – mod_lua’dagi zaiflik bo‘lib, Lua skriptlarida r:wsread() funksiyasini manipulyatsiya qilish orqali ajratilgan buferdan tashqaridagi ma’lumotlarga kirish imkonini beradi.
  • CVE-2022-30522 - mod_sed moduli tomonidan ma'lum ma'lumotlarni qayta ishlashda xizmat ko'rsatishni rad etish (mavjud xotira tugashi).
  • CVE-2022-29404 mod_lua-da xizmat ko'rsatishni rad etish bo'lib, r:parsebody(0) qo'ng'irog'i yordamida Lua ishlovchilariga maxsus tayyorlangan so'rovlar yuborish orqali foydalaniladi.
  • CVE-2022-28615, CVE-2022-28614 – ap_strcmp_match() va ap_rwrite() funksiyalaridagi xatolar tufayli xizmat ko‘rsatish yoki jarayon xotirasidagi ma’lumotlarga kirishni rad etish, bufer chegarasidan tashqaridagi hududdan o‘qishga olib keladi.
  • CVE-2022-28330 - mod_isapi-dagi chegaradan tashqari bufer maydonlaridan ma'lumotlar sizib chiqishi (muammo faqat Windows platformasida yuzaga keladi).
  • CVE-2022-26377 – mod_proxy_ajp moduli frontend-backend tizimlariga HTTP so‘rovi kontrabandasi hujumlariga sezgir bo‘lib, bu unga o‘zini frontend va backend o‘rtasida bir xil oqimda qayta ishlangan boshqa foydalanuvchilarning so‘rovlari mazmuniga o‘tkazish imkonini beradi.

Xavfsizlik bilan bog'liq bo'lmagan eng muhim o'zgarishlar:

  • mod_ssl SSLFIPS rejimini OpenSSL 3.0 bilan mos qiladi.
  • Ab yordam dasturi TLSv1.3 ni qo'llab-quvvatlaydi (ushbu protokolni qo'llab-quvvatlaydigan SSL kutubxonasi bilan bog'lanishni talab qiladi).
  • mod_md da MDCertificateAuthority direktivasi bir nechta CA nomi va URL manziliga ruxsat beradi. Yangi ko'rsatmalar qo'shildi: MDRetryDelay (qayta urinish so'rovini yuborishdan oldin kechikishni belgilaydi) va MDRetryFailover (muqobil sertifikatlashtirish organini tanlashdan oldin muvaffaqiyatsizlikka uchragan taqdirda takroriy urinishlar sonini belgilaydi). "Kalit: qiymat" formatida qiymatlarni chiqarishda "avtomatik" holatni qo'llab-quvvatlash qo'shildi. Tailscale xavfsiz VPN tarmog'i foydalanuvchilari uchun sertifikatlarni boshqarish imkoniyati taqdim etildi.
  • mod_http2 moduli foydalanilmagan va xavfli koddan tozalandi.
  • mod_proxy tarmoq portining jurnalga yozilgan xato xabarlarida aks etishini ta'minlaydi.
  • Mod_heartmonitor-da HeartbeatMaxServers parametrining qiymati 0 dan 10 ga o'zgartirildi (10 ta umumiy xotira uyasi ishga tushirilmoqda).

Manba: opennet.ru

a Izoh qo'shish