ProHoster > Блог > ayelujara iroyin > Tusilẹ olupin Apache 2.4.53 pẹlu awọn ailagbara ti o lewu ti o wa titi

Tusilẹ olupin Apache 2.4.53 pẹlu awọn ailagbara ti o lewu ti o wa titi

Itusilẹ ti Apache HTTP Server 2.4.53 ti ṣe atẹjade, eyiti o ṣafihan awọn ayipada 14 ati awọn atunṣe awọn ailagbara 4:

  • CVE-2022-22720 - o ṣeeṣe ti ṣiṣe ikọlu Ibeere Smuggling HTTP kan, eyiti o fun laaye, nipa fifiranṣẹ awọn ibeere alabara ti a ṣe apẹrẹ pataki, lati lọ sinu akoonu ti awọn ibeere awọn olumulo miiran ti o gbejade nipasẹ mod_proxy (fun apẹẹrẹ, o le ṣaṣeyọri aropo irira Koodu JavaScript sinu igba ti olumulo miiran ti aaye naa). Iṣoro naa jẹ ṣẹlẹ nipasẹ fifi awọn asopọ ti nwọle ti o ṣii silẹ lẹhin ti o ba awọn aṣiṣe alabapade lakoko ti o n ṣiṣẹ ara ibeere ti ko tọ.
  • CVE-2022-23943 - Aponsedanu ifipamọ ni mod_sed module ti o fun laaye ìkọlélórí awọn awọn akoonu ti awọn okiti iranti pẹlu attacker-dari data.
  • CVE-2022-22721 - Kọ jade ti awọn aala nitori odidi aponsedanu ti o waye nigbati ran a ìbéèrè ara tobi ju 350MB. Iṣoro naa ṣafihan ararẹ lori awọn eto 32-bit ninu eyiti awọn eto LimitXMLRequestBody ti ṣeto ga ju (nipasẹ aiyipada 1 MB, fun ikọlu opin gbọdọ ga ju 350 MB).
  • CVE-2022-22719 jẹ ailagbara ni mod_lua ti o fun laaye kika awọn agbegbe iranti laileto ati kọlu ilana naa nigbati o ba n ṣiṣẹ ara ibeere ti o ṣe pataki. Iṣoro naa jẹ idi nipasẹ lilo awọn iye ti ko ni ibẹrẹ ninu koodu iṣẹ r: parsebody.

Awọn iyipada ti kii ṣe aabo ti o ṣe akiyesi julọ ni:

  • Ni mod_proxy, opin lori nọmba awọn ohun kikọ ni orukọ olutọju (osise) ti pọ si. Ṣe afikun agbara lati tunto awọn akoko ipari yiyan fun ẹhin ati iwaju iwaju (fun apẹẹrẹ, ni ibatan si oṣiṣẹ). Fun awọn ibeere ti a firanṣẹ nipasẹ awọn oju opo wẹẹbu tabi ọna CONNECT, akoko ipari ti yipada si iye ti o pọju ti a ṣeto fun ẹhin ati iwaju iwaju.
  • Mimu ti o ya sọtọ ti ṣiṣi awọn faili DBM ati ikojọpọ awakọ DBM. Ni iṣẹlẹ ti jamba, akọọlẹ n ṣafihan alaye alaye diẹ sii nipa aṣiṣe ati awakọ naa.
  • mod_md duro awọn ibeere ṣiṣe si /.well-known/acme-challenge/ ayafi ti awọn eto ìkápá ba mu ṣiṣẹ ni ṣoki ni lilo iru ipenija 'http-01'.
  • mod_dav ti o wa titi ipadasẹhin ti o fa agbara iranti giga nigba ṣiṣe nọmba nla ti awọn orisun.
  • Fi kun agbara lati lo pcre2 (10.x) ikawe dipo ti pcre (8.x) fun processing deede expressions.
  • Atilẹyin fun itupalẹ anomaly LDAP ti ni afikun si awọn asẹ ibeere si data iboju ni deede nigba igbiyanju lati ṣe awọn ikọlu aropo LDAP.
  • Ni mpm_event, titiipa kan ti o waye nigbati o ba tun bẹrẹ tabi ti o kọja opin MaxConnectionsPerChild lori awọn ọna ṣiṣe ti kojọpọ gaan ti jẹ atunṣe.

orisun: opennet.ru

Fi ọrọìwòye kun