أعلنت مؤسسة Apache Software Foundation و Apache HTTP Server Project مؤخرًا عن إطلاق إصدار جديد من خادم Apache HTTP 2.4.54 ، كون هذا الإصدار من Apache هو أحدث إصدار GA من الجيل التالي لفرع Apache HTTPD 2.4.x ويمثل خمسة عشر عامًا من الابتكار بواسطة المشروع ويوصى به على جميع الإصدارات السابقة. هذا الإصدار من Apache هو إصدار خاص بالأمان والميزة وإصلاح الأخطاء.
الإصدار الجديد الذي sيقدم e يقدم 19 تغييرًا ويصلح 8 نقاط ضعف، والتي سمح بعضها بالوصول إلى البيانات ، يمكن أن يؤدي أيضًا إلى رفض الخدمة ، من بين أمور أخرى.
الميزات الرئيسية الجديدة لخادم Apache HTTP 2.4.54
في هذا الإصدار الجديد الذي تم تقديمه من Apache HTTP Server 2.4.54 في mod_md ، يسمح توجيه MDCertificateAuthority بأكثر من اسم CA وعنوان URL ، إلى جانب ذلك تمت إضافة توجيهات جديدة: MDRetryDelay (يحدد التأخير قبل إرسال طلب إعادة المحاولة) و MDRetryFailover (يحدد عدد مرات إعادة المحاولة عند الفشل قبل اختيار مرجع مصدق بديل).
التغيير الآخر الذي يبرز هو ذلك في الوحدة تم تنظيف mod_http2 من التعليمات البرمجية غير المستخدمة وغير الآمنة، بينما في mod_proxy ، يتم الآن توفير انعكاس لمنفذ الشبكة الخلفية في رسائل الخطأ المكتوبة في السجل وأنه في mod_heartmonitor ، تم تغيير قيمة معلمة HeartbeatMaxServers من 0 إلى 10 (تهيئة 10 فتحات ذاكرة مشتركة).
من ناحية أخرى ، يمكننا أن نجد ذلك إضافة دعم للحالة "تلقائي" عند عرض القيم بتنسيق "المفتاح: القيمة" ، بالإضافة إلى القدرة على إدارة الشهادات لمستخدمي Tailscale Secure VPN.
في mod_ssl ، تم تصميم وضع SSLFIPS لدعم OpenSSL 3.0 ، وتقوم الأداة المساعدة ab أيضًا بتنفيذ دعم TLSv1.3 (يتطلب الارتباط بمكتبة SSL تدعم هذا البروتوكول).
بالنسبة لجزء من إصلاحات الأخطاء التي تم إجراؤها في هذا الإصدار الجديد:
- CVE-2022-31813: ثغرة أمنية في mod_proxy تسمح بمنع إرسال رؤوس X-Forwarded- * بمعلومات حول عنوان IP الذي جاء منه الطلب الأصلي. يمكن استخدام المشكلة لتجاوز قيود الوصول بناءً على عناوين IP.
- CVE-2022-30556: ثغرة في mod_lua تسمح بالوصول إلى البيانات خارج المخزن المؤقت المخصص عبر التلاعب بوظيفة r: wsread () في نصوص Lua التي تشير إلى ما بعد نهاية التخزين المؤقت المخصص. يمكن استغلال هذا الخطأ في Apache HTTP Server 2.4.53 والإصدارات السابقة.
- CVE-2022-30522: رفض الخدمة (الذاكرة المتوفرة غير كافية) عند معالجة بيانات معينة بواسطة mod_sed. إذا تم تكوين Apache HTTP Server 2.4.53 لإجراء تحويلات باستخدام mod_sed في السياقات حيث قد يكون الإدخال إلى mod_sed شديدًا
يمكن لـ mod_sed كبير الحجم إجراء عمليات تخصيص كبيرة للذاكرة بشكل مفرط ويؤدي إلى إحباط. - CVE-2022-29404: يتم استغلال رفض mod_lua للخدمة عن طريق إرسال طلبات معدة خصيصًا إلى معالجات Lua باستخدام استدعاء r: parsebody (0).
- CVE-2022-28615 ، CVE-2022-28614: رفض الخدمة أو الوصول إلى البيانات في ذاكرة العملية بسبب أخطاء في وظائف ap_strcmp_match () و ap_rwrite () ، مما أدى إلى قراءة منطقة خارج حدود المخزن المؤقت.
- CVE-2022-28330: تسرب المعلومات خارج الحدود في mod_isapi (تظهر المشكلة فقط على نظام Windows الأساسي).
- CVE-2022-26377: الوحدة النمطية mod_proxy_ajp عرضة لهجمات فئة "HTTP Request Smuggling" على أنظمة الواجهة الخلفية ، مما يسمح بمعالجة محتوى طلبات المستخدمين الآخرين على نفس مؤشر الترابط بين الواجهة الأمامية والنهاية الخلفية.
ومن الجدير بالذكر أن هذا الإصدار يتطلب Apache Portable Runtime (APR) ، والإصدار الأدنى 1.5.x ، و APR-Util ، الإصدار الأدنى 1.5.x. قد تتطلب بعض الميزات الإصدار 1.6.x من APR و APR-Util. يجب تحديث مكتبات APR حتى تعمل جميع وظائف httpd بشكل صحيح.
أخيرا إذا كنت مهتمًا بمعرفة المزيد عنها حول هذا الإصدار الجديد من خادم Apache HTTP ، يمكنك التحقق من التفاصيل في الرابط التالي.