কিছু দিন আগে মুক্তি সার্ভারের নতুন সংশোধনমূলক সংস্করণ Apache HTTP 2.4.53, যা 14টি পরিবর্তন প্রবর্তন করে এবং 4টি দুর্বলতা সংশোধন করে। নতুন এই সংস্করণের ঘোষণায় তা উল্লেখ করা হয়েছে এটি শাখার শেষ প্রকাশ Apache HTTPD-এর 2.4.x রিলিজ এবং প্রোজেক্টের পনের বছরের উদ্ভাবনের প্রতিনিধিত্ব করে, এবং সমস্ত পূর্ববর্তী সংস্করণের জন্য সুপারিশ করা হয়।
যারা অ্যাপাচি সম্পর্কে জানেন না, তাদের জানা উচিত যে এটি একটি জনপ্রিয় ওপেন সোর্স HTTP ওয়েব সার্ভারযা ইউনিক্স প্ল্যাটফর্মগুলির জন্য উপলব্ধ (বিএসডি, জিএনইউ / লিনাক্স ইত্যাদি), মাইক্রোসফ্ট উইন্ডোজ, ম্যাকিনটোস এবং অন্যান্য।
অ্যাপাচি ২.৪.৪৩ এ নতুন কী?
Apache 2.4.53-এর এই নতুন সংস্করণের প্রকাশে সবচেয়ে উল্লেখযোগ্য অ-নিরাপত্তা সংক্রান্ত পরিবর্তনগুলি হল mod_proxy-এ, যেখানে অক্ষরের সংখ্যার সীমা বাড়ানো হয়েছে কন্ট্রোলারের নামে, প্লাস পাওয়ার ক্ষমতাও যোগ করা হয়েছিল ব্যাকএন্ড এবং ফ্রন্টএন্ডের জন্য বেছে বেছে টাইমআউট কনফিগার করুন (উদাহরণস্বরূপ, একজন শ্রমিকের সাথে সম্পর্কযুক্ত)। ওয়েবসকেট বা CONNECT পদ্ধতির মাধ্যমে পাঠানো অনুরোধের জন্য, টাইমআউট ব্যাকএন্ড এবং ফ্রন্টএন্ডের জন্য সেট করা সর্বোচ্চ মান পরিবর্তন করা হয়েছে।
এই নতুন সংস্করণে আরও যে পরিবর্তনগুলি দেখা দেয় তা হ'ল DBM ফাইল খোলার এবং DBM ড্রাইভার লোড করার জন্য আলাদা হ্যান্ডলিং। ক্র্যাশের ক্ষেত্রে, লগটি এখন ত্রুটি এবং ড্রাইভার সম্পর্কে আরও বিস্তারিত তথ্য দেখায়।
En mod_md /.well-known/acme-challenge/ এ অনুরোধগুলি প্রক্রিয়াকরণ বন্ধ করেছে যতক্ষণ না ডোমেন কনফিগারেশন স্পষ্টভাবে 'http-01' চ্যালেঞ্জ টাইপের ব্যবহার সক্রিয় করে, mod_dav-এ একটি রিগ্রেশন সংশোধন করা হয়েছিল যা বিপুল সংখ্যক সংস্থান প্রক্রিয়া করার সময় উচ্চ মেমরি খরচের কারণ হয়।
অন্যদিকে, এটাও তুলে ধরা হলো যে pcre2 লাইব্রেরি ব্যবহার করার ক্ষমতা (10.x) রেগুলার এক্সপ্রেশন প্রক্রিয়া করার জন্য pcre (8.x) এর পরিবর্তে এবং LDAP কনস্ট্রাক্ট প্রতিস্থাপন আক্রমণ করার চেষ্টা করার সময় সঠিকভাবে ডেটা ফিল্টার করতে ক্যোয়ারী ফিল্টারগুলিতে LDAP অসঙ্গতি পার্সিং সমর্থন যোগ করে এবং সেই mpm_event একটি অচলাবস্থা স্থির করে যা রিবুট করার সময় বা MaxConnectionsPerChild সীমা অতিক্রম করার সময় ঘটে। অত্যন্ত লোড সিস্টেম.
দুর্বলতার যেগুলি এই নতুন সংস্করণে সমাধান করা হয়েছিল, নিম্নলিখিতগুলি উল্লেখ করা হয়েছে:
- সিভিই -2022-22720: এটি একটি "HTTP অনুরোধ চোরাচালান" আক্রমণ করতে সক্ষম হওয়ার সম্ভাবনাকে অনুমতি দেয়, যা বিশেষভাবে তৈরি করা ক্লায়েন্টের অনুরোধ পাঠানোর মাধ্যমে, mod_proxy এর মাধ্যমে প্রেরিত অন্যান্য ব্যবহারকারীর অনুরোধের বিষয়বস্তু হ্যাক করার অনুমতি দেয় (উদাহরণস্বরূপ, এটি এর প্রতিস্থাপন অর্জন করতে পারে সাইটের অন্য ব্যবহারকারীর সেশনে ক্ষতিকারক জাভাস্ক্রিপ্ট কোড)। একটি অবৈধ অনুরোধের অংশ প্রক্রিয়াকরণে ত্রুটির সম্মুখীন হওয়ার পরে ইনকামিং সংযোগগুলি খোলা রেখে দেওয়ার কারণে এই সমস্যাটি ঘটে।
- সিভিই -2022-23943: এটি mod_sed মডিউলে একটি বাফার ওভারফ্লো দুর্বলতা ছিল যা আক্রমণকারী-নিয়ন্ত্রিত ডেটা দিয়ে হিপ মেমরি ওভাররাইট করার অনুমতি দেয়।
- সিভিই -2022-22721: এই দুর্বলতা 350 MB এর চেয়ে বড় একটি অনুরোধের বডি পাস করার সময় একটি পূর্ণসংখ্যা ওভারফ্লো হওয়ার কারণে বাফারে লেখার ক্ষমতাকে অনুমতি দেয়। সমস্যাটি 32-বিট সিস্টেমে নিজেকে প্রকাশ করে যেখানে LimitXMLRequestBody মানটি খুব বেশি কনফিগার করা হয়েছে (ডিফল্টভাবে 1 MB, আক্রমণের জন্য সীমাটি অবশ্যই 350 MB-এর বেশি হতে হবে)।
- সিভিই -2022-22719: এটি mod_lua-এ একটি দুর্বলতা যা র্যান্ডম মেমরির জায়গাগুলি পড়ার অনুমতি দেয় এবং একটি বিশেষভাবে তৈরি রিকোয়েস্ট বডি প্রক্রিয়া করা হলে প্রক্রিয়াটিকে ব্লক করে। সমস্যাটি r:parsebody ফাংশনের কোডে অপ্রচলিত মান ব্যবহারের কারণে ঘটে।
পরিশেষে আপনি যদি এটি সম্পর্কে আরও জানতে চান এই নতুন প্রকাশ সম্পর্কে, আপনি বিশদটি পরীক্ষা করতে পারেন নিম্নলিখিত লিঙ্ক।
নির্গমন
আপনি অফিসিয়াল অ্যাপাচি ওয়েবসাইটে গিয়ে নতুন সংস্করণটি পেতে পারেন এবং এর ডাউনলোড বিভাগে আপনি নতুন সংস্করণটির লিঙ্কটি খুঁজে পাবেন।