На веб-сервере Apache есть серьезная уязвимость – Nachedeu

Вот уязвимость, вот уязвимость, везде уязвимость. Одно из другого ненавистно названо CVE-2022-30522. Это атака типа «отказ в обслуживании» (DoS) в HTTP-сервер Apacheх модуль mod_sed وحدة.

Это звон колокольчиков? Если так, то это потому, что мы уже были здесь раньше. В марте 2022 г. CVE-2022-23943, была обнаружена уязвимость, связанная с повреждением памяти Apache в mod_sed. Это была одна из уязвимостей записи за пределы, которая позволяла злоумышленникам перезаписывать память кучи. Когда вы говорите «Замените динамическую память», вы понимаете, что это плохие новости. Это затронуло Apache HTTP Server 2.4.52 и более ранние версии.

новые проблемы

Это было быстро исправлено. Но, Брайан Мосли, Джафруй Руководитель отдела исследований в области безопасности группы исследований в области безопасности выразил обеспокоенность тем, что код апача «проблема решена»это создало новое, нежелательное поведение». Мосли был прав.

Оказывается, патч открыл новую уязвимость mod_sed. Хорошая новость заключается в том, что это влияет только на Apache HTTPD 2.4.5. Он вызывается, когда фильтр mod_sed используется для запроса или ответа мода.

Прежде чем мы углубимся в ошибку, давайте проведем краткий курс о том, что делает mod_sed. mod_sed в основном позволяет вам использовать редактор Steam, да, классическую систему Unix. г-н, для обработки входных и выходных потоков запросов к серверу. В качестве входного фильтра его можно использовать в теле запросов HTTP POST, а в качестве выходного фильтра он позволяет изменять ответы вашего сервера. Короче говоря, mod_sed может быть очень полезен.

Но в данном случае последняя уязвимость связана с выделением памяти при обработке буферов потока. Что происходит, когда буферы достигают определенного размера, они умножаются, чтобы избежать многих вызовов функций распределения памяти. Звучит неплохо, но когда атака нагружает слишком много данных, буферы превышают лимит памяти Apache. Полученные результаты? Прервите процесс, и — хлоп! — Вы получаете DoS.

READ  Twitter тестирует видео на предмет реакции на твиты

Хотя Apache не считает эту ошибку большой проблемой. Они классифицируют его серьезность как «низкую». Национальная база данных уязвимостей (НВД) не согласился. NVD дает ему оценку CVSS 7,5 (высокий). JFrog ставит его посередине благодаря сбалансированному эффекту, с одной стороны, и относительной редкости установочной базы mod_sed, с другой.

обновить сейчас

Я? Все, что потенциально может стать настоящей болью от шлепков, исправляется, а также легко устраняется как можно быстрее. Просто Обновление до Apache HTTPD 2.4.54 или выше. Вам никогда не придется беспокоиться об этом.

Если по какой-то причине вы не можете отладить его, вы также можете остановить внешние атаки, которые используют его, ограничив размер тела метода POST, чтобы он никогда не мог выполняться. Для этого введите Лимитрекуестбоди Заявление о конфигурации в файле конфигурации Apache HTTPD (/etc/httpd/conf/httpd.conf) до 2 ГБ или меньше.

Например:

Лимитрекуестбоди 107374182

Это перестанет принимать любые данные с размером объекта более 1 ГБ. Однако это не идеально. JFrog заявляет, что «это смягчение обеспечивает защиту только от DoS, вызванного клиентскими запросами, но по-прежнему оставляет сервер уязвимым для DoS, если mod_sed используется для изменения веб-ответов, а клиенту отправляется ответ размером более 2 ГБ».

Итак, опять же, лучшее, что вы можете сделать, это обновить веб-сервер до версии 2.4.54 или выше.

The New Stack является дочерней компанией Insight Partners, которая является инвестором следующих компаний, упомянутых в этой статье: JFrog.

Избранное изображение Мохамед Хассан Из Pixabay.

Leonid Morozov

Создатель. Любитель кофе. Любитель Интернета. Организатор. Выродок поп-культуры. Поклонник телевидения. Гордый кулинарa

Добавить комментарий

Ваш адрес email не будет опубликован.

Наверх