Apache 軟件基金會和 Apache HTTP 服務器項目最近宣布發布新版本的 Apache HTTP Server 2.4.54,這個版本的 Apache 是最新的 GA 版本 Apache HTTPD 下一代 2.4.x 分支,代表了該項目 XNUMX 年的創新,並在所有以前的版本中被推薦。 此版本的 Apache 是一個安全、功能和錯誤修復版本。
新版本e Presents 引入了 19 處更改並修復了 8 個漏洞,其中一些允許訪問數據,除其他外,還可能導致拒絕服務。
Apache HTTP Server 2.4.54 主要新特性
在 Apache HTTP Server 2.4.54 的這個新版本中 在 mod_md 中,MDCertificateAuthority 指令允許多個 CA 名稱和 URL, 除此之外 添加了新指令:MDRetryDelay (定義發送重試請求之前的延遲) 和 MDRetryFailover (定義在選擇備用 CA 之前失敗的重試次數)。
另一個突出的變化是在模塊中 mod_http2 已清除未使用和不安全的代碼,而在 mod_proxy 中,現在在寫入日誌的錯誤消息中提供了後端網絡端口的反射,而在 mod_heartmonitor 中,HeartbeatMaxServers 參數的值已從 0 更改為 10(初始化 10 個共享內存插槽)。
另一方面,我們可以發現 在以“key:value”格式顯示值時添加了對“auto”狀態的支持, 此外,還提供了為 Tailscale Secure VPN 用戶管理證書的能力。
在 mod_ssl 中,SSLFIPS 模式現在支持 OpenSSL 3.0,並且 ab 實用程序還實現了對 TLSv1.3 的支持(需要鏈接到支持該協議的 SSL 庫)。
對於在這個新版本中進行的部分錯誤修復:
- CVE-2022,31813:mod_proxy 中的一個漏洞,它允許阻止發送帶有原始請求來源 IP 地址信息的 X-Forwarded-* 標頭。 該問題可用於繞過基於 IP 地址的訪問限制。
- CVE-2022,30556:mod_lua 中的一個漏洞,允許通過 Lua 腳本中的 r:wsread() 函數操作訪問分配的緩衝區之外的數據,該函數指向已分配緩衝區存儲的末尾。 此漏洞可在 Apache HTTP Server 2.4.53 及更早版本中被利用。
- CVE-2022,30522: mod_sed 處理某些數據時拒絕服務(可用內存不足)。 如果 Apache HTTP Server 2.4.53 配置為在 mod_sed 的輸入可能非常大的上下文中使用 mod_sed 執行轉換
大,mod_sed 可以進行過大的內存分配並觸發中止。 - CVE-2022,29404:通過使用 r:parsebody(0) 調用向 Lua 處理程序發送特製請求來利用 mod_lua 拒絕服務。
- CVE-2022-28615,CVE-2022-28614: 由於 ap_strcmp_match() 和 ap_rwrite() 函數中的錯誤而拒絕服務或進程內存中的數據訪問,導致從緩衝區邊界讀取區域。
- CVE-2022-28330: mod_isapi 中的信息洩漏越界(問題僅出現在 Windows 平台上)。
- CVE-2022,26377: mod_proxy_ajp 模塊容易受到前後端系統的“HTTP Request Smuggling”類攻擊,允許其他用戶的請求內容在前後端的同一線程上處理。
值得一提的是,這個版本需要 Apache Portable Runtime (APR),最低版本 1.5.x,和 APR-Util,最低版本 1.5.x。 某些功能可能需要 1.6.x 版的 APR 和 APR-Util。 必須更新 APR 庫才能使所有 httpd 函數正常工作。
終於 如果您有興趣了解更多信息 關於這個新版本的 Apache HTTP 服務器,您可以查看詳細信息 在下面的鏈接中。