Apache HTTP Server 2.4.54 kommer med 19 ændringer og retter 8 sårbarheder

Apache Software Foundation og Apache HTTP Server Project annoncerede for nylig udgivelsen af ​​en ny version af Apache HTTP Server 2.4.54, da denne version af Apache er den seneste GA-version af Apache HTTPD næste generations 2.4.x-gren og repræsenterer femten års innovation af projektet og anbefales i forhold til alle tidligere versioner. Denne udgivelse af Apache er en sikkerheds-, funktions- og fejlrettelsesudgivelse.

Den nye version, der se presents introducerer 19 ændringer og retter 8 sårbarheder, hvoraf nogle af dem gav adgang til data, kunne blandt andet også føre til lammelsesangreb.

De vigtigste nye funktioner i Apache HTTP Server 2.4.54

I denne nye version, der præsenteres af Apache HTTP Server 2.4.54 i mod_md tillader MDCertificateAuthority-direktivet mere end ét CA-navn og URL, udover det tilføjede nye direktiver: MDRetryDelay (definerer forsinkelsen før afsendelse af en anmodning om genforsøg) og MDRetryFailover (definerer antallet af genforsøg ved fejl, før der vælges en alternativ CA).

En anden ændring, der skiller sig ud, er den i modulet mod_http2 er blevet renset for ubrugt og usikker kode, mens der i mod_proxy er en afspejling af backend-netværksporten nu tilvejebragt i fejlmeddelelserne skrevet til loggen, og at værdien af ​​HeartbeatMaxServers-parameteren i mod_heartmonitor er blevet ændret fra 0 til 10 (initialisering af 10 delte hukommelsespladser).

På den anden side kan vi finde det tilføjet understøttelse af "auto"-status ved visning af værdier i "nøgle: værdi"-formatet, plus muligheden for at administrere certifikater for Tailscale Secure VPN-brugere blev givet.

I mod_ssl er SSLFIPS-tilstand nu lavet til at understøtte OpenSSL 3.0, og ab-værktøjet implementerer også understøttelse af TLSv1.3 (kræver linkning til et SSL-bibliotek, der understøtter denne protokol).

For den del af fejlrettelserne, der blev lavet i denne nye version:

  • CVE-2022-31813: En sårbarhed i mod_proxy, der gør det muligt at blokere afsendelsen af ​​X-Forwarded-* headere med information om IP-adressen, hvorfra den oprindelige anmodning kom. Problemet kan bruges til at omgå adgangsbegrænsninger baseret på IP-adresser.
  • CVE-2022-30556: En sårbarhed i mod_lua, der tillader adgang til data uden for den allokerede buffer via manipulationer med funktionen r:wsread() i Lua-scripts, der peger forbi slutningen af ​​den allokerede bufferlagring. Denne fejl kan udnyttes i Apache HTTP Server 2.4.53 og tidligere versioner.
  • CVE-2022-30522: lammelsesangreb (utilstrækkelig tilgængelig hukommelse) ved behandling af visse data af mod_sed. Hvis Apache HTTP Server 2.4.53 er konfigureret til at udføre transformationer med mod_sed i kontekster, hvor input til mod_sed kan være meget
    large, mod_sed kan foretage alt for store hukommelsestildelinger og udløse en afbrydelse.
  • CVE-2022-29404: Mod_lua lammelsesangrebet udnyttes ved at sende specielt udformede anmodninger til Lua-handlerne ved hjælp af r:parsebody(0)-kaldet.
  • CVE-2022-28615, CVE-2022-28614: Denial of service eller dataadgang i proceshukommelse på grund af fejl i funktionerne ap_strcmp_match() og ap_rwrite(), hvilket resulterer i, at et område bliver læst ud af buffergrænsen.
  • CVE-2022-28330: Information lækker uden for grænserne i mod_isapi (problemet vises kun på Windows-platformen).
  • CVE-2022-26377: Mod_proxy_ajp-modulet er sårbart over for "HTTP Request Smuggling"-klasseangreb på front-end-backend-systemer, hvilket tillader indholdet af andre brugeres anmodninger at blive behandlet på den samme tråd mellem front-end og back-end.

Det er værd at nævne, at denne version kræver Apache Portable Runtime (APR), minimum version 1.5.x, og APR-Util, minimum version 1.5.x. Nogle funktioner kræver muligvis version 1.6.x af APR og APR-Util. ÅOP-bibliotekerne skal opdateres, for at alle httpd-funktioner fungerer korrekt.

Endelig hvis du er interesseret i at vide mere om det om denne nye version af Apache HTTP-server, kan du tjekke detaljerne I det følgende link.


Indholdet af artiklen overholder vores principper for redaktionel etik. Klik på for at rapportere en fejl her.

Vær den første til at kommentere

Efterlad din kommentar

Din e-mailadresse vil ikke blive offentliggjort.

*

*

  1. Ansvarlig for dataene: Miguel Ángel Gatón
  2. Formålet med dataene: Control SPAM, management af kommentarer.
  3. Legitimering: Dit samtykke
  4. Kommunikation af dataene: Dataene vil ikke blive kommunikeret til tredjemand, undtagen ved juridisk forpligtelse.
  5. Datalagring: Database hostet af Occentus Networks (EU)
  6. Rettigheder: Du kan til enhver tid begrænse, gendanne og slette dine oplysninger.