કેટલાક દિવસો પહેલા ના પ્રકાશન સર્વરનું નવું સુધારાત્મક સંસ્કરણ HTTP અપાચે 2.4.53, જે 14 ફેરફારો રજૂ કરે છે અને 4 નબળાઈઓને સુધારે છે. આ નવા સંસ્કરણની જાહેરાતમાં ઉલ્લેખ કરવામાં આવ્યો છે કે તે શાખાનું છેલ્લું પ્રકાશન છે Apache HTTPD નું 2.4.x પ્રકાશન અને પ્રોજેક્ટ દ્વારા પંદર વર્ષની નવીનતા રજૂ કરે છે, અને અગાઉના તમામ સંસ્કરણો પર તેની ભલામણ કરવામાં આવે છે.
જેઓ અપાચે વિશે નથી જાણતા, તેઓએ જાણવું જોઈએ કે આ છે લોકપ્રિય ઓપન સોર્સ HTTP વેબ સર્વર, જે યુનિક્સ પ્લેટફોર્મ્સ (બીએસડી, જીએનયુ / લિનક્સ, વગેરે), માઇક્રોસ .ફ્ટ વિન્ડોઝ, મ Macકિન્ટોશ અને અન્ય માટે ઉપલબ્ધ છે.
અપાચે 2.4.53 માં નવું શું છે?
અપાચે 2.4.53 ના આ નવા સંસ્કરણના પ્રકાશનમાં સૌથી નોંધપાત્ર બિન-સુરક્ષા સંબંધિત ફેરફારો છે mod_proxy માં, જેમાં અક્ષરોની સંખ્યા પર મર્યાદા વધારવામાં આવી હતી નિયંત્રકના નામ પર, ઉપરાંત પાવર કરવાની ક્ષમતા પણ ઉમેરવામાં આવી હતી બેકએન્ડ અને ફ્રન્ટએન્ડ માટે પસંદગીપૂર્વક સમયસમાપ્તિ ગોઠવો (ઉદાહરણ તરીકે, કામદારના સંબંધમાં). વેબસોકેટ્સ અથવા કનેક્ટ પદ્ધતિ દ્વારા મોકલવામાં આવેલી વિનંતીઓ માટે, સમયસમાપ્તિ બેકએન્ડ અને ફ્રન્ટએન્ડ માટે સેટ કરેલ મહત્તમ મૂલ્યમાં બદલવામાં આવી છે.
આ નવા સંસ્કરણમાં જે ફેરફાર થાય છે તે છે DBM ફાઇલો ખોલવાની અને DBM ડ્રાઇવરને લોડ કરવાની અલગ હેન્ડલિંગ. ક્રેશની ઘટનામાં, લોગ હવે ભૂલ અને ડ્રાઇવર વિશે વધુ વિગતવાર માહિતી દર્શાવે છે.
En mod_md એ /.well-known/acme-challenge/ ને વિનંતીઓ પર પ્રક્રિયા કરવાનું બંધ કર્યું જ્યાં સુધી ડોમેન રૂપરેખાંકન સ્પષ્ટપણે 'http-01' પડકાર પ્રકારનો ઉપયોગ સક્ષમ ન કરે, જ્યારે mod_dav માં રીગ્રેસન નિશ્ચિત કરવામાં આવ્યું હતું જે મોટી સંખ્યામાં સંસાધનોની પ્રક્રિયા કરતી વખતે ઉચ્ચ મેમરી વપરાશનું કારણ બને છે.
બીજી તરફ, તે પણ પ્રકાશિત થાય છે કે pcre2 લાઇબ્રેરીનો ઉપયોગ કરવાની ક્ષમતા (10.x) નિયમિત અભિવ્યક્તિઓ પર પ્રક્રિયા કરવા માટે pcre (8.x) ને બદલે અને LDAP કન્સ્ટ્રક્ટ અવેજી હુમલાઓ કરવાનો પ્રયાસ કરતી વખતે ડેટાને યોગ્ય રીતે ફિલ્ટર કરવા માટે ક્વેરી ફિલ્ટર્સમાં LDAP વિસંગતતા પાર્સિંગ સપોર્ટ પણ ઉમેર્યો અને તે mpm_event એ ડેડલોકને નિશ્ચિત કર્યું જે રીબૂટ કરતી વખતે અથવા MaxConnectionsPerChild મર્યાદા ઓળંગતી વખતે થાય છે. અત્યંત લોડ થયેલ સિસ્ટમો.
નબળાઈઓની જે આ નવા સંસ્કરણમાં હલ કરવામાં આવ્યા હતા, નીચેનાનો ઉલ્લેખ કરવામાં આવ્યો છે:
- સીવીઇ -2022-22720: આનાથી "HTTP વિનંતી દાણચોરી" હુમલો કરવામાં સક્ષમ બનવાની શક્યતાને મંજૂરી મળી, જે, ખાસ રચિત ક્લાયંટ વિનંતીઓ મોકલીને, mod_proxy દ્વારા પ્રસારિત અન્ય વપરાશકર્તાઓની વિનંતીઓની સામગ્રીને હેક કરવાની મંજૂરી આપે છે (ઉદાહરણ તરીકે, તે અવેજી પ્રાપ્ત કરી શકે છે. સાઇટના અન્ય વપરાશકર્તાના સત્રમાં દૂષિત JavaScript કોડ). અમાન્ય વિનંતિના મુખ્ય ભાગ પર પ્રક્રિયા કરતી વખતે ભૂલોનો સામનો કર્યા પછી ઇનકમિંગ કનેક્શન્સ ખુલ્લા રહેવાને કારણે સમસ્યા ઊભી થાય છે.
- સીવીઇ -2022-23943: આ mod_sed મોડ્યુલમાં બફર ઓવરફ્લો નબળાઈ હતી જે હુમલાખોર-નિયંત્રિત ડેટા સાથે હીપ મેમરીને ઓવરરાઈટ કરવાની મંજૂરી આપે છે.
- સીવીઇ -2022-22721: આ નબળાઈએ પૂર્ણાંક ઓવરફ્લોને કારણે બફર પર લખવાની ક્ષમતાને મંજૂરી આપી છે જે 350 MB કરતા મોટી વિનંતીના મુખ્ય ભાગને પસાર કરતી વખતે થાય છે. સમસ્યા 32-બીટ સિસ્ટમ્સ પર દેખાય છે જેમાં LimitXMLRequestBody મૂલ્ય ખૂબ વધારે ગોઠવેલું છે (ડિફૉલ્ટ રૂપે 1 MB, હુમલા માટે મર્યાદા 350 MB કરતાં વધુ હોવી જોઈએ).
- સીવીઇ -2022-22719: આ mod_lua માં એક નબળાઈ છે જે રેન્ડમ મેમરી વિસ્તારોને વાંચવાની અને પ્રક્રિયાને અવરોધિત કરવાની મંજૂરી આપે છે જ્યારે ખાસ રચિત વિનંતી બોડી પર પ્રક્રિયા કરવામાં આવે છે. આ સમસ્યા r:parsebody ફંક્શનના કોડમાં અપ્રારંભિક મૂલ્યોના ઉપયોગને કારણે થાય છે.
છેલ્લે જો તમે તેના વિશે વધુ જાણવા માંગો છો આ નવી પ્રકાશન વિશે, તમે વિગતો ચકાસી શકો છો નીચેની કડી.
ડાઉનલોડ કરો
તમે સત્તાવાર અપાચે વેબસાઇટ પર જઈને નવું સંસ્કરણ મેળવી શકો છો અને તેના ડાઉનલોડ વિભાગમાં તમને નવા સંસ્કરણની લિંક મળશે.