Apache 2.4.53 lançado com melhorias, correções e muito mais

E foi lançado o Apache 2.4.53 com melhorias, correções e muito mais. Confira as novidades e veja como instalar no Linux.

Para aqueles que não estão familiarizados com o Apache, você deve saber que este é um popular servidor web HTTP de código aberto, que está disponível para Unix (BSD, GNU/Linux, etc.), Microsoft Windows, Macintosh e outras plataformas.

E, há poucos dias, foi lançado o lançamento da nova versão corretiva do servidor Apache HTTP 2.4.53, que introduz 14 alterações e corrige 4 vulnerabilidades.

No anúncio desta nova versão é mencionado que é o último lançamento da nova geração 2.4.x branch do Apache HTTPD e representa quinze anos de inovação do projeto, sendo recomendado sobre todas as versões anteriores.

Novidades do Apache 2.4.53

Apache 2.4.53 lançado com melhorias, correções e muito mais
Apache 2.4.53 lançado com melhorias, correções e muito mais

No lançamento do Apache 2.4.53, as mudanças mais notáveis ​​não relacionadas à segurança estão no mod_proxy, em que foi aumentado o limite do número de caracteres no nome do controlador, além da adição do capacidade de configurar seletivamente os tempos limite para o back-end e o front-end (por exemplo, em relação a um trabalhador).

Para solicitações enviadas via websockets ou pelo método CONNECT, no Apache 2.4.53 o tempo limite foi alterado para o valor máximo definido para o back-end e o front-end.

Outra mudança que se destaca no Apache 2.4.53 é a manipulação separada de abrir arquivos DBM e carregar o driver DBM. Em caso de falha, o log agora mostra informações mais detalhadas sobre o erro e o driver.

mod_md parou de processar solicitações para /.well-known/acme-challenge/ a menos que a configuração do domínio permitisse explicitamente o uso do tipo de desafio ‘http-01’, enquanto mod_dav corrigiu uma regressão que causava alto consumo de memória ao processar uma grande quantidade de recursos .

Por outro lado, nota-se também que no Apache 2.4.53 foi adicionada a capacidade de usar a biblioteca pcre2 (10.x) em vez de pcre (8.x) para processar expressões regulares e que o suporte para análise de anomalias LDAP também foi adicionado à consulta filtros para filtrar dados corretamente ao tentar executar ataques de substituição de construção LDAP e que mpm_event corrigiu um deadlock que ocorre ao reinicializar ou exceder o limite MaxConnectionsPerChild em sistemas altamente carregados.

Das vulnerabilidades que foram corrigidas no Apache 2.4.53, são mencionadas as seguintes:

  • CVE-2022-22720: isso permitiu a possibilidade de realizar um ataque de “contrabando de solicitações HTTP”, que permite, enviando solicitações de clientes especialmente criadas, infiltrar o conteúdo de solicitações de outros usuários transmitidas por mod_proxy (por exemplo, você pode conseguir a substituição do código JavaScript malicioso na sessão de outro usuário do site). O problema é causado por conexões de entrada deixadas abertas após encontrar erros ao processar um corpo de solicitação inválido.
  • CVE-2022-23943: Esta era uma vulnerabilidade de estouro de buffer no módulo mod_sed que permite que a memória heap seja substituída por dados controlados pelo invasor.
  • CVE-2022-22721: Esta vulnerabilidade permitiu a capacidade de gravar no buffer fora dos limites devido a um estouro de número inteiro que ocorre ao passar um corpo de solicitação maior que 350 MB. O problema se manifesta em sistemas de 32 bits nos quais o valor LimitXMLRequestBody está configurado muito alto (por padrão 1 MB, para um ataque o limite deve ser maior que 350 MB).
  • CVE-2022-22719: Esta é uma vulnerabilidade no mod_lua que permite ler áreas de memória aleatórias e travar o processo quando um corpo de solicitação especialmente criado é processado. O problema é causado pelo uso de valores não inicializados no código da função r:parsebody.

Para saber mais sobre essa versão do Apache, acesse a nota de lançamento.

Como instalar ou atualizar o Apache

Para instalar a versão mais recente do Apache nas principais distribuições Linux, use o gerenciador de pacotes do sistema.
Ou
Você pode obter a nova versão acessando o site oficial do Apache e em sua seção de download, onde você encontrará o endereço para a nova versão.

Sobre o Edivaldo Brito

Edivaldo Brito é analista de sistemas, gestor de TI, blogueiro e também um grande fã de sistemas operacionais, banco de dados, software livre, redes, programação, dispositivos móveis e tudo mais que envolve tecnologia.

Ads Blocker Image Powered by Code Help Pro

Bloqueador de anúncios detectado!!!

Nosso site precisa de publicidade para existir. Por favor, insira-o na lista de permissões/lista branca para liberar a exibição de anúncios e apoiar nosso site. Nosso conteúdo é GRATUITO, e tudo o que pedimos é isso!
Powered By
100% Free SEO Tools - Tool Kits PRO