Apache 2.4.53 chega com melhorias e correções

Apache 2.4.53 chega com melhorias e correções
Apache 2.4.53 chega com melhorias e correções

Faz alguns dias o lançamento da nova versão corretiva do servidor HTTP Apache 2.4.53, que introduz 14 alterações e corrige 4 vulnerabilidades. No anúncio, eles disseram que esta é a última versão do branch 2.4.x do Apache HTTPD e representa quinze anos de inovação do projeto, sendo recomendado sobre todas as versões anteriores.

Para quem não conhece o Apache, deve saber que este é um popular servidor web HTTP de código aberto, que está disponível para plataformas Unix (BSD, GNU/Linux), Microsoft Windows, Macintosh e outros.

Apache 2.4.53 chega com melhorias e correções. O que há de novo?

Apache 2.4.53 chega com melhorias e correções
Apache 2.4.53 chega com melhorias e correções

No lançamento desta nova versão do Apache 2.4.53, as mudanças não relacionadas à segurança mais notáveis são em mod_proxy, em que o limite do número de caracteres foi aumentado em nome do controlador, além da capacidade de alimentação também foi adicionada configurar seletivamente os tempos limite para back-end e front-end (por exemplo, em relação a um trabalhador). Para solicitações enviadas via websockets ou pelo método CONNECT, o tempo limite foi alterado para o valor máximo definido para o back-end e front-end.

Outra das mudanças que se destacam nesta nova versão é o manipulação separada de abrir arquivos DBM e carregar o driver DBM. Em caso de falha, o log agora mostra informações mais detalhadas sobre o erro e o driver.

En mod_md parou de processar solicitações para /.well-known/acme-challenge/ a menos que a configuração do domínio permitisse explicitamente o uso do tipo de desafio ‘http-01’, enquanto no mod_dav foi corrigida uma regressão que causava alto consumo de memória ao processar um grande número de recursos.

Por outro lado, destaca-se também que a capacidade de usar a biblioteca pcre2 (10.x) em vez de pcre (8.x) para processar expressões regulares e também adicionou suporte à análise de anomalias LDAP para filtros de consulta para filtrar dados corretamente ao tentar executar ataques de substituição de construção LDAP e que mpm_event corrigiu um impasse que ocorre ao reinicializar ou exceder o limite MaxConnectionsPerChild em sistemas altamente carregados.

Das vulnerabilidades que foram resolvidos nesta nova versão, são mencionados:

  • CVE-2022-22720: isso permitiu a possibilidade de realizar um ataque “HTTP request smuggling”, que permite, enviando solicitações de clientes especialmente criadas, invadir o conteúdo de solicitações de outros usuários transmitidas por mod_proxy (por exemplo, pode conseguir a substituição de código JavaScript malicioso na sessão de outro usuário do site). O problema é causado por conexões de entrada deixadas abertas após encontrar erros ao processar um corpo de solicitação inválido.
  • CVE-2022-23943: essa era uma vulnerabilidade de estouro de buffer no módulo mod_sed que permite que a memória heap seja substituída por dados controlados pelo invasor.
  • CVE-2022-22721: Essa vulnerabilidade permitia gravar no buffer fora dos limites devido a um estouro de número inteiro que ocorre ao passar um corpo de solicitação maior que 350 MB. O problema se manifesta em sistemas de 32 bits nos quais o valor LimitXMLRequestBody está configurado muito alto (por padrão 1 MB, para um ataque o limite deve ser maior que 350 MB).
  • CVE-2022-22719: esta é uma vulnerabilidade no mod_lua que permite ler áreas de memória aleatórias e bloquear o processo quando um corpo de solicitação especialmente criado é processado. O problema é causado pelo uso de valores não inicializados no código da função r:parsebody.

Finalmente se você quiser saber mais sobre isso sobre este novo lançamento, você pode verificar os detalhes em o seguinte link.

Onde baixar

Você pode obter a nova versão acessando o site oficial do Apache e na seção de download você encontrará o link para a nova versão. O link é este.

Via Ubunlog

Acesse a versão completa
Sair da versão mobile