Prohoster > Blog > tin tức mạng > Bản phát hành máy chủ http Apache 2.4.54 với các lỗ hổng đã được sửa

Bản phát hành máy chủ http Apache 2.4.54 với các lỗ hổng đã được sửa

Máy chủ Apache HTTP 2.4.53 đã được phát hành, giới thiệu 19 thay đổi và loại bỏ 8 lỗ hổng:

  • CVE-2022-31813 — уязвимость в mod_proxy, позволяющая блокировать отправку заголовков X-Forwarded-* с информацией об IP-адресе, с которого поступил изначальных запрос. Проблема может быть использована для обхода ограничений доступа по IP-адресам.
  • CVE-2022-30556 — уязвимость в mod_lua, позволяющая получить доступ к данным за пределами выделенного буфера через манипуляции с функцией r:wsread() в Lua-скриптах.
  • CVE-2022-30522 — отказ в обслуживании (исчерпание доступной памяти) при обработке определённых данных модулем mod_sed.
  • CVE-2022-29404 — отказ в обслуживании в mod_lua, эксплуатируемый через отправку специальной оформленных запросов Lua-обработчикам, использующим вызов r:parsebody(0).
  • CVE-2022-28615, CVE-2022-28614 — отказ в обслуживании или получение доступа к данным в памяти процесса из-за ошибок в функциях ap_strcmp_match() и ap_rwrite(), приводящих к чтению из области за границей буфера.
  • CVE-2022-28330 — утечка информации из областей вне границ буфера в mod_isapi (проблема проявляется только на платформе Windows).
  • CVE-2022-26377 — модуль mod_proxy_ajp подвержен атакам класса «HTTP Request Smuggling» на системы фронтэнд-бэкенд, позволяющим вклиниваться в содержимое запросов других пользователей, обрабатываемых в том же потоке между фронтэндом и бэкендом.

Những thay đổi không liên quan đến bảo mật đáng chú ý nhất là:

  • В mod_ssl обеспечена совместимость режима SSLFIPS с OpenSSL 3.0.
  • В утилите ab реализована поддержка TLSv1.3 (требуется связывание с SSL-библиотекой, поддерживающей данный протокол).
  • В mod_md в директиве MDCertificateAuthority разрешено использование более одного имени и URL удостоверяющего центра. Добавлены новые директивы: MDRetryDelay (определяет задержку перед отправкой повторного запроса) и MDRetryFailover (определяет число повторных попыток в случае сбоя перед выбором альтернативного удостоверяющего центра). Добавлена поддержка состояния «auto» при выводе значений в формате «key: value». Предоставлена возможность управления сертификатами для пользователей защищённой VPN-сети Tailscale.
  • Проведена чистка модуля mod_http2 от неиспользуемого и небезопасного кода.
  • В mod_proxy обеспечено отражение сетевого порта бэкенда в сообщениях об ошибках, записываемых в лог.
  • В mod_heartmonitor значение параметра HeartbeatMaxServers изменено с 0 до 10 (инициализации 10 слотов разделяемой памяти).

Nguồn: opennet.ru

Thêm một lời nhận xét