Az Apache Software Foundation és az Apache HTTP Server Project a közelmúltban jelentette be a program új verziójának kiadását Apache HTTP Server 2.4.54, mivel az Apache ez a verziója a legújabb GA-verzió Az Apache HTTPD következő generációs 2.4.x ága, és a projekt tizenöt évnyi innovációját képviseli, és minden korábbi verzióhoz képest ajánlott. Az Apache ezen kiadása egy biztonsági, szolgáltatási és hibajavító kiadás.
Az új verzió, amely sAz e bemutat 19 változtatást vezet be, és 8 biztonsági rést javít ki, amelyek közül néhányan engedélyezték az adatokhoz való hozzáférést, többek között szolgáltatásmegtagadáshoz is vezethetnek.
Az Apache HTTP Server 2.4.54 főbb újdonságai
Az Apache HTTP Server 2.4.54 új verziójában a mod_md-ben az MDCertificateAuthority direktíva egynél több CA nevet és URL-t engedélyez, amellett új direktívákat adott hozzá: MDRetryDelay (meghatározza a késleltetést az újrapróbálkozási kérelem elküldése előtt) és MDRetryFailover (meghatározza az újrapróbálkozások számát hiba esetén, mielőtt alternatív hitelesítésszolgáltatót választana).
Egy másik kiemelkedő változás a modulban A mod_http2-t megtisztították a nem használt és nem biztonságos kódtól, míg a mod_proxyban a háttérhálózati port tükröződik a naplóba írt hibaüzenetekben, és hogy a mod_heartmonitorban a HeartbeatMaxServers paraméter értéke 0-ról 10-re módosult (10 megosztott memóriahely inicializálása).
Másrészt ezt megtalálhatjuk hozzáadva az „auto” állapot támogatását, amikor az értékeket „kulcs: érték” formátumban jeleníti meg, plusz a Tailscale Secure VPN-felhasználók tanúsítványainak kezelésére is lehetőség volt.
A mod_ssl-ben az SSLFIPS mód mostantól támogatja az OpenSSL 3.0-t, és az ab segédprogram a TLSv1.3 támogatását is megvalósítja (egy olyan SSL-könyvtárhoz való hivatkozás szükséges, amely támogatja ezt a protokollt).
Az új verzióban elvégzett hibajavítások részére:
- CVE-2022 31813-: A mod_proxy biztonsági rése, amely lehetővé teszi az X-Forwarded-* fejlécek küldésének blokkolását az eredeti kérés IP-címére vonatkozó információkkal. A probléma az IP-címeken alapuló hozzáférési korlátozások megkerülésére használható.
- CVE-2022 30556-: A mod_lua biztonsági rése, amely lehetővé teszi a lefoglalt pufferen kívüli adatokhoz való hozzáférést az r:wsread() függvény manipulációi révén a Lua-szkriptekben, amelyek túlmutatnak a lefoglalt puffertároló végén. Ez a hiba kihasználható az Apache HTTP Server 2.4.53-as és korábbi verzióiban.
- CVE-2022 30522-: szolgáltatásmegtagadás (nincs elegendő szabad memória), amikor bizonyos adatokat a mod_sed feldolgoz. Ha az Apache HTTP Server 2.4.53 úgy van beállítva, hogy átalakításokat hajtson végre a mod_sed használatával olyan környezetben, ahol a mod_sed bemenete nagyon
A big, mod_sed túlságosan nagy memóriafoglalást tehet lehetővé, és megszakítást válthat ki. - CVE-2022 29404-: A mod_lua szolgáltatásmegtagadást úgy használják ki, hogy speciálisan kialakított kéréseket küldenek a Lua kezelőknek az r:parsebody(0) hívás használatával.
- CVE-2022-28615, CVE-2022-28614: Szolgáltatás vagy adathozzáférés megtagadása a folyamatmemóriában az ap_strcmp_match() és ap_rwrite() függvények hibái miatt, ami egy régió kiolvasását eredményezi a pufferhatáron.
- CVE-2022-28330: Információk szivárognak ki a mod_isapi-ban (a probléma csak Windows platformon jelenik meg).
- CVE-2022 26377-: A mod_proxy_ajp modul sebezhető a "HTTP Request Smuggling" osztályú támadásokkal szemben a front-end-háttérrendszereken, lehetővé téve, hogy más felhasználók kéréseinek tartalmát ugyanazon a szálon dolgozzák fel a front-end és a backend között.
Érdemes megemlíteni, hogy ehhez a verzióhoz az Apache Portable Runtime (APR) minimum 1.5.x verziója és az APR-Util minimum 1.5.x verziója szükséges. Egyes funkciókhoz az APR és az APR-Util 1.6.x verziójára lehet szükség. Az APR-könyvtárakat frissíteni kell, hogy minden httpd-függvény megfelelően működjön.
Végül ha érdekel, hogy többet tudjon meg róla Az Apache HTTP-kiszolgáló új verziójával kapcsolatban megtekintheti a részleteket A következő linken.