Релиз http-сервера Apache 2.4.53 с устранением опасных уязвимостей

Автор Сообщение
news_bot ®

Стаж: 6 лет 9 месяцев
Сообщений: 27286

Создавать темы news_bot ® написал(а)
15-Мар-2022 12:30

Опубликован релиз HTTP-сервера Apache 2.4.53, в котором представлено 14 изменений и устранено 4 уязвимости:
  • CVE-2022-22720 - возможность совершения атаки "HTTP Request Smuggling", позволяющей через отправку специально оформленных клиентских запросов вклиниваться в содержимое запросов других пользователей, передаваемых через mod_proxy (например, можно добиться подстановки вредоносного JavaScript-кода в сеанс другого пользователя сайта). Проблема вызвана оставлением открытыми входящих соединений после возникновения ошибок при обработке некорректного тела запроса.
  • CVE-2022-23943 - переполнение буфера в модуле mod_sed, позволяющее перезаписать содержимое памяти кучи данными, контролируемыми атакующим.
  • CVE-2022-22721 - возможность записи за границу буфера из-за целочисленного переполнения, возникающего при передаче тела запроса размером более 350МБ. Проблема проявляется на 32-разрядных системах в настройках которых выставлено слишком большое значение LimitXMLRequestBody (по умолчанию 1 МБ, для атаки лимит должен быть выше 350 МБ).
  • CVE-2022-22719 - уязвимость в mod_lua, позволяющая добиться чтения случайных областей памяти и краха процесса при обработке специально оформленного тела запроса. Проблема вызвана использованием неинициализированных значений в коде функции r:parsebody.
Наиболее заметные изменения, не связанные с безопасностью:
  • В mod_proxy повышен лимит на число символов в имени обработчика (worker). Добавлена возможность выборочной настройки таймаутов для бэкенда и фронтэнда (например, в привязке к worker-у). Для запросов, передаваемых через websockets или метод CONNECT, время таймаута изменено на максимальное значение, выставленное для бэкенда и фронтэнда.
  • Разделена обработка открытия DBM-файлов и загрузки DBM-драйвера. В случае сбоя в логе теперь отображаются более детальные сведения об ошибке и драйвере.
  • В mod_md прекращена обработка запросов к /.well-known/acme-challenge/, если в настройках домена явно не включено использование типа проверки 'http-01'.
  • В mod_dav устранено регрессивное изменение, приводящее к большому потреблению памяти при обработке большого числа ресурсов.
  • Добавлена возможность использования библиотеки pcre2 (10.x) вместо pcre (8.x) для обработки регулярных выражений.
  • В фильтры запросов добавлена поддержка анализа аномалий для протокола LDAP для корректного экранирования данных при попытке совершения атак по подстановке LDAP-конструкций.
  • В mpm_event устранена взаимная блокировка, возникающая при пепезапуске или превышении лимита MaxConnectionsPerChild на высоконагруженных систмах.

===========
Источник:
OpenNet.RU
===========

Похожие новости: Теги для поиска: #_apache, #_httpd
Профиль  ЛС 
Показать сообщения:     

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы

Текущее время: 22-Ноя 12:02
Часовой пояс: UTC + 5