Релиз http-сервера Apache 2.4.53 с устранением опасных уязвимостей
Автор
Сообщение
news_bot ®
Стаж: 6 лет 2 месяца
Сообщений: 27286
Опубликован релиз HTTP-сервера Apache 2.4.53, в котором представлено 14 изменений и устранено 4 уязвимости:
- CVE-2022-22720 - возможность совершения атаки "HTTP Request Smuggling", позволяющей через отправку специально оформленных клиентских запросов вклиниваться в содержимое запросов других пользователей, передаваемых через mod_proxy (например, можно добиться подстановки вредоносного JavaScript-кода в сеанс другого пользователя сайта). Проблема вызвана оставлением открытыми входящих соединений после возникновения ошибок при обработке некорректного тела запроса.
- CVE-2022-23943 - переполнение буфера в модуле mod_sed, позволяющее перезаписать содержимое памяти кучи данными, контролируемыми атакующим.
- CVE-2022-22721 - возможность записи за границу буфера из-за целочисленного переполнения, возникающего при передаче тела запроса размером более 350МБ. Проблема проявляется на 32-разрядных системах в настройках которых выставлено слишком большое значение LimitXMLRequestBody (по умолчанию 1 МБ, для атаки лимит должен быть выше 350 МБ).
- CVE-2022-22719 - уязвимость в mod_lua, позволяющая добиться чтения случайных областей памяти и краха процесса при обработке специально оформленного тела запроса. Проблема вызвана использованием неинициализированных значений в коде функции r:parsebody.
Наиболее заметные изменения, не связанные с безопасностью:
- В mod_proxy повышен лимит на число символов в имени обработчика (worker). Добавлена возможность выборочной настройки таймаутов для бэкенда и фронтэнда (например, в привязке к worker-у). Для запросов, передаваемых через websockets или метод CONNECT, время таймаута изменено на максимальное значение, выставленное для бэкенда и фронтэнда.
- Разделена обработка открытия DBM-файлов и загрузки DBM-драйвера. В случае сбоя в логе теперь отображаются более детальные сведения об ошибке и драйвере.
- В mod_md прекращена обработка запросов к /.well-known/acme-challenge/, если в настройках домена явно не включено использование типа проверки 'http-01'.
- В mod_dav устранено регрессивное изменение, приводящее к большому потреблению памяти при обработке большого числа ресурсов.
- Добавлена возможность использования библиотеки pcre2 (10.x) вместо pcre (8.x) для обработки регулярных выражений.
- В фильтры запросов добавлена поддержка анализа аномалий для протокола LDAP для корректного экранирования данных при попытке совершения атак по подстановке LDAP-конструкций.
- В mpm_event устранена взаимная блокировка, возникающая при пепезапуске или превышении лимита MaxConnectionsPerChild на высоконагруженных систмах.
===========
Источник:
OpenNet.RU
===========
Похожие новости
- Главная ссылка к новости (https://www.mail-archive.com/a...)
- OpenNews: Новая атака на системы фронтэнд-бэкенд, позволяющая вклиниться в запросы
- OpenNews: Атака на системы фронтэнд-бэкенд, позволяющая вклиниться в сторонние запросы
- OpenNews: Релиз http-сервера Apache 2.4.52 с устранением переполнения буфера в mod_lua
- OpenNews: Новая техника HTTP атак
- OpenNews: Релиз http-сервера Apache 2.4.49 с устранением уязвимостей
Похожие новости:
- Выпуск http-сервера Lighttpd 1.4.64
- Лидер Apache PLC4X перешёл на модель платного развития функциональности
- Релиз http-сервера Apache 2.4.52 с устранением переполнения буфера в mod_lua
- Выпуск библиотеки GNU libmicrohttpd 0.9.74
- Доступен Apache OpenMeetings 6.2, сервер для проведения web-конференций
- Фонд Apache уходит от системы зеркал в пользу CDN
- Ещё одна уязвимость в Apache httpd, позволяющая обратиться за пределы корневого каталога сайта
- Уязвимость в http-сервере Apache 2.4.49, позволяющая получить файлы вне корня сайта
- Выпуск http-сервера Lighttpd 1.4.60
- Релиз http-сервера Apache 2.4.49 с устранением уязвимостей
Теги для поиска: #_apache, #_httpd
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 03-Май 08:49
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 2 месяца |
|
|
Опубликован релиз HTTP-сервера Apache 2.4.53, в котором представлено 14 изменений и устранено 4 уязвимости:
=========== Источник: OpenNet.RU =========== Похожие новости
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 03-Май 08:49
Часовой пояс: UTC + 5