Релиз http-сервера Apache 2.4.54 с устранением уязвимостей
Автор
Сообщение
news_bot ®
Стаж: 6 лет 2 месяца
Сообщений: 27286
Опубликован релиз HTTP-сервера Apache 2.4.53, в котором представлено 19 изменений и устранено 8 уязвимостей:
- CVE-2022-31813 - уязвимость в mod_proxy, позволяющая блокировать отправку заголовков X-Forwarded-* с информацией об IP-адресе, с которого поступил изначальных запрос. Проблема может быть использована для обхода ограничений доступа по IP-адресам.
- CVE-2022-30556 - уязвимость в mod_lua, позволяющая получить доступ к данным за пределами выделенного буфера через манипуляции с функцией r:wsread() в Lua-скриптах.
- CVE-2022-30522 - отказ в обслуживании (исчерпание доступной памяти) при обработке определённых данных модулем mod_sed.
- CVE-2022-29404 - отказ в обслуживании в mod_lua, эксплуатируемый через отправку специальной оформленных запросов Lua-обработчикам, использующим вызов r:parsebody(0).
- CVE-2022-28615, CVE-2022-28614 - отказ в обслуживании или получение доступа к данным в памяти процесса из-за ошибок в функциях ap_strcmp_match() и ap_rwrite(), приводящих к чтению из области за границей буфера.
- CVE-2022-28330 - утечка информации из областей вне границ буфера в
mod_isapi (проблема проявляется только на платформе Windows).
- CVE-2022-26377 - модуль mod_proxy_ajp подвержен атакам класса "HTTP Request Smuggling" на системы фронтэнд-бэкенд, позволяющим вклиниваться в содержимое запросов других пользователей, обрабатываемых в том же потоке между фронтэндом и бэкендом.
Наиболее заметные изменения, не связанные с безопасностью:
- В mod_ssl обеспечена совместимость режима SSLFIPS с OpenSSL 3.0.
- В утилите ab реализована поддержка TLSv1.3 (требуется связывание с SSL-библиотекой, поддерживающей данный протокол).
- В mod_md в директиве MDCertificateAuthority разрешено использование более одного имени и URL удостоверяющего центра. Добавлены новые директивы: MDRetryDelay (определяет задержку перед отправкой повторного запроса) и MDRetryFailover (определяет число повторных попыток в случае сбоя перед выбором альтернативного удостоверяющего центра). Добавлена поддержка состояния "auto" при выводе значений в формате "key: value". Предоставлена возможность управления сертификатами для пользователей защищённой VPN-сети Tailscale.
- Проведена чистка модуля mod_http2 от неиспользуемого и небезопасного кода.
- В mod_proxy обеспечено отражение сетевого порта бэкенда в сообщениях об ошибках, записываемых в лог.
- В mod_heartmonitor значение параметра HeartbeatMaxServers изменено с 0 до 10 (инициализации 10 слотов разделяемой памяти).
===========
Источник:
OpenNet.RU
===========
Похожие новости
- Главная ссылка к новости (https://downloads.apache.org/h...)
- OpenNews: Релиз http-сервера Apache 2.4.53 с устранением опасных уязвимостей
- OpenNews: Релиз http-сервера Apache 2.4.52 с устранением переполнения буфера в mod_lua
- OpenNews: Ещё одна уязвимость в Apache httpd, позволяющая обратиться за пределы корневого каталога сайта
- OpenNews: Уязвимость в http-сервере Apache 2.4.49, позволяющая получить файлы вне корня сайта
- OpenNews: Новая атака на системы фронтэнд-бэкенд, позволяющая вклиниться в запросы
Похожие новости:
- Выпуск http-сервера Lighttpd 1.4.65
- Релиз http-сервера Apache 2.4.53 с устранением опасных уязвимостей
- Выпуск http-сервера Lighttpd 1.4.64
- Лидер Apache PLC4X перешёл на модель платного развития функциональности
- Релиз http-сервера Apache 2.4.52 с устранением переполнения буфера в mod_lua
- Выпуск библиотеки GNU libmicrohttpd 0.9.74
- Доступен Apache OpenMeetings 6.2, сервер для проведения web-конференций
- Релиз Static Web Server 2.1.0, http-сервера для отдачи статических файлов
- Компания Intel развивает протокол HTTPA, дополняющий HTTPS
- Фонд Apache уходит от системы зеркал в пользу CDN
Теги для поиска: #_apache, #_http
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 03-Май 13:48
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 2 месяца |
|
|
Опубликован релиз HTTP-сервера Apache 2.4.53, в котором представлено 19 изменений и устранено 8 уязвимостей:
=========== Источник: OpenNet.RU =========== Похожие новости
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 03-Май 13:48
Часовой пояс: UTC + 5