कुछ दिनों पहले का रिलीज सर्वर का नया सुधारात्मक संस्करण HTTP अपाचे 2.4.53, जो 14 बदलाव पेश करता है और 4 कमजोरियों को ठीक करता है। इस नए संस्करण की घोषणा में यह उल्लेख किया गया है कि यह शाखा की अंतिम रिलीज है Apache HTTPD की 2.4.x रिलीज़ और परियोजना द्वारा पंद्रह वर्षों के नवाचार का प्रतिनिधित्व करती है, और पिछले सभी संस्करणों में अनुशंसित है।
जो लोग Apache के बारे में नहीं जानते हैं, उन्हें पता होना चाहिए कि यह है एक लोकप्रिय ओपन सोर्स HTTP वेब सर्वर, जो यूनिक्स प्लेटफार्मों (बीएसडी, जीएनयू / लिनक्स, आदि), माइक्रोसॉफ्ट विंडोज, मैकिनटोश और अन्य के लिए उपलब्ध है।
Apache 2.4.53 में नया क्या है?
Apache 2.4.53 के इस नए संस्करण के विमोचन में सबसे उल्लेखनीय गैर-सुरक्षा संबंधी परिवर्तन हैं mod_proxy में, जिसमें वर्णों की संख्या की सीमा बढ़ा दी गई थी नियंत्रक के नाम पर, साथ ही शक्ति की क्षमता भी जोड़ी गई बैकएंड और फ्रंटएंड के लिए चुनिंदा टाइमआउट कॉन्फ़िगर करें (उदाहरण के लिए, एक कार्यकर्ता के संबंध में)। वेबसोकेट या कनेक्ट विधि के माध्यम से भेजे गए अनुरोधों के लिए, टाइमआउट को बैकएंड और फ्रंटएंड के लिए निर्धारित अधिकतम मान में बदल दिया गया है।
इस नए संस्करण में एक और बदलाव सामने आया है DBM फ़ाइलों को खोलने और DBM ड्राइवर को लोड करने की अलग हैंडलिंग। क्रैश की स्थिति में, लॉग अब त्रुटि और ड्राइवर के बारे में अधिक विस्तृत जानकारी दिखाता है।
En mod_md ने /.well-known/acme-challenge/ पर अनुरोधों को संसाधित करना बंद कर दिया जब तक कि डोमेन कॉन्फ़िगरेशन स्पष्ट रूप से 'http-01' चुनौती प्रकार के उपयोग को सक्षम नहीं करता है, जबकि mod_dav में एक प्रतिगमन तय किया गया था जो बड़ी संख्या में संसाधनों को संसाधित करते समय उच्च स्मृति खपत का कारण बनता था।
दूसरी ओर, इस बात पर भी प्रकाश डाला गया है कि pcre2 पुस्तकालय का उपयोग करने की क्षमता (10.एक्स) नियमित अभिव्यक्तियों को संसाधित करने के लिए pcre (8.x) के बजाय और LDAP निर्माण प्रतिस्थापन हमलों को करने का प्रयास करते समय डेटा को सही ढंग से फ़िल्टर करने के लिए क्वेरी फ़िल्टर में LDAP विसंगति पार्सिंग समर्थन भी जोड़ा और उस mpm_event ने एक गतिरोध तय किया जो कि रिबूट या MaxConnectionsPerChild सीमा से अधिक होने पर होता है। अत्यधिक लोड सिस्टम।
कमजोरियों में से जिन्हें इस नए संस्करण में हल किया गया था, निम्नलिखित का उल्लेख किया गया है:
- सीवीई-2022-22720: इसने "HTTP अनुरोध तस्करी" हमले को करने में सक्षम होने की संभावना की अनुमति दी, जो विशेष रूप से तैयार किए गए क्लाइंट अनुरोध भेजकर, mod_proxy के माध्यम से प्रेषित अन्य उपयोगकर्ताओं के अनुरोधों की सामग्री में हैक करने की अनुमति देता है (उदाहरण के लिए, यह प्रतिस्थापन प्राप्त कर सकता है साइट के किसी अन्य उपयोगकर्ता के सत्र में दुर्भावनापूर्ण JavaScript कोड)। एक अमान्य अनुरोध निकाय को संसाधित करने में त्रुटियों का सामना करने के बाद आने वाले कनेक्शनों को खुला छोड़ दिया जा रहा है।
- सीवीई-2022-23943: यह mod_sed मॉड्यूल में एक बफर अतिप्रवाह भेद्यता थी जो हीप मेमोरी को हमलावर-नियंत्रित डेटा के साथ अधिलेखित करने की अनुमति देता है।
- सीवीई-2022-22721: इस भेद्यता ने एक पूर्णांक अतिप्रवाह के कारण बफर को सीमा से बाहर लिखने की क्षमता की अनुमति दी, जो 350 एमबी से बड़े अनुरोध निकाय को पारित करते समय होता है। समस्या 32-बिट सिस्टम पर प्रकट होती है जिसमें LimitXMLRequestBody मान बहुत अधिक कॉन्फ़िगर किया गया है (डिफ़ॉल्ट रूप से 1 एमबी, एक हमले के लिए सीमा 350 एमबी से अधिक होनी चाहिए)।
- सीवीई-2022-22719: यह mod_lua में एक भेद्यता है जो यादृच्छिक स्मृति क्षेत्रों को पढ़ने और प्रक्रिया को अवरुद्ध करने की अनुमति देता है जब विशेष रूप से तैयार किए गए अनुरोध निकाय को संसाधित किया जाता है। समस्या r:parsebody फ़ंक्शन के कोड में अप्रारंभीकृत मानों के उपयोग के कारण होती है।
अंत में यदि आप इसके बारे में अधिक जानना चाहते हैं इस नई रिलीज़ के बारे में, आप विवरण देख सकते हैं निम्नलिखित लिंक।
मुक्ति
आप आधिकारिक Apache वेबसाइट पर जाकर नया संस्करण प्राप्त कर सकते हैं और इसके डाउनलोड अनुभाग में आपको नए संस्करण का लिंक मिल जाएगा।