काही दिवसांपूर्वी च्या प्रकाशन सर्व्हरची नवीन सुधारात्मक आवृत्ती HTTP अपाचे 2.4.53, जे 14 बदल सादर करते आणि 4 भेद्यता निश्चित करते. या नवीन आवृत्तीच्या घोषणेमध्ये असे नमूद करण्यात आले आहे हे शाखेचे शेवटचे प्रकाशन आहे Apache HTTPD चे 2.4.x रिलीझ आणि प्रकल्पाद्वारे पंधरा वर्षांच्या नवकल्पनाचे प्रतिनिधित्व करते आणि मागील सर्व आवृत्त्यांमध्ये शिफारस केली जाते.
ज्यांना Apache बद्दल माहिती नाही, त्यांनी हे जाणून घ्यावे एक लोकप्रिय ओपन सोर्स HTTP वेब सर्व्हर, जे युनिक्स प्लॅटफॉर्म (BSD, GNU / Linux, इ.), Microsoft Windows, Macintosh आणि इतरांसाठी उपलब्ध आहे.
Apache 2.4.53 मध्ये नवीन काय आहे?
Apache 2.4.53 च्या या नवीन आवृत्तीच्या प्रकाशनात सर्वात लक्षणीय गैर-सुरक्षा संबंधित बदल आहेत mod_proxy मध्ये, ज्यामध्ये वर्णांच्या संख्येची मर्यादा वाढवली होती कंट्रोलरच्या नावावर, तसेच पॉवरची क्षमता देखील जोडली गेली बॅकएंड आणि फ्रंटएंडसाठी निवडकपणे कालबाह्य कॉन्फिगर करा (उदाहरणार्थ, कामगाराच्या संबंधात). वेबसॉकेट्स किंवा CONNECT पद्धतीद्वारे पाठवलेल्या विनंत्यांसाठी, टाइमआउट बॅकएंड आणि फ्रंटएंडसाठी सेट केलेल्या कमाल मूल्यामध्ये बदलले गेले आहे.
या नवीन आवृत्तीत दिसणारे आणखी एक बदल म्हणजे DBM फाईल्स उघडणे आणि DBM ड्रायव्हर लोड करण्याचे वेगळे हाताळणी. क्रॅश झाल्यास, लॉग आता त्रुटी आणि ड्रायव्हरबद्दल अधिक तपशीलवार माहिती दर्शवितो.
En mod_md ने /.well-known/acme-challenge/ ला विनंत्यांवर प्रक्रिया करणे थांबवले जोपर्यंत डोमेन कॉन्फिगरेशनने 'http-01' चॅलेंज प्रकाराचा वापर स्पष्टपणे सक्षम केला नाही तोपर्यंत, mod_dav मध्ये रिग्रेशन निश्चित केले गेले होते ज्यामुळे मोठ्या संख्येने संसाधनांवर प्रक्रिया करताना उच्च मेमरी वापर होते.
दुसरीकडे, हे देखील अधोरेखित केले जाते की द pcre2 लायब्ररी वापरण्याची क्षमता (10.x) रेग्युलर एक्स्प्रेशन्सवर प्रक्रिया करण्यासाठी pcre (8.x) ऐवजी आणि LDAP कंस्ट्रक्ट प्रतिस्थापन हल्ला करण्याचा प्रयत्न करताना डेटा फिल्टर करण्यासाठी क्वेरी फिल्टरमध्ये LDAP विसंगती पार्सिंग समर्थन देखील जोडले आणि त्या mpm_event ने डेडलॉक निश्चित केला जो रीबूट करताना किंवा MaxConnectionsPerChild मर्यादा ओलांडताना उद्भवतो. उच्च भारित प्रणाली.
भेद्यता च्या या नवीन आवृत्तीत सोडवल्या गेलेल्या, खालील गोष्टींचा उल्लेख केला आहे:
- सीव्हीई -2022-22720: यामुळे "HTTP विनंती स्मगलिंग" हल्ला करण्यास सक्षम असण्याची शक्यता निर्माण झाली, जे विशेष तयार केलेल्या क्लायंट विनंत्या पाठवून, mod_proxy द्वारे प्रसारित केलेल्या इतर वापरकर्त्यांच्या विनंत्यांची सामग्री हॅक करण्यास अनुमती देते (उदाहरणार्थ, ते प्रतिस्थापन साध्य करू शकते. साइटच्या दुसर्या वापरकर्त्याच्या सत्रात दुर्भावनापूर्ण JavaScript कोड). अवैध विनंती मुख्य भागावर प्रक्रिया करताना त्रुटी आढळल्यानंतर येणारे कनेक्शन उघडे ठेवल्यामुळे समस्या उद्भवली आहे.
- सीव्हीई -2022-23943: mod_sed मॉड्यूलमधील ही बफर ओव्हरफ्लो असुरक्षा होती जी आक्रमणकर्त्या-नियंत्रित डेटासह हीप मेमरी ओव्हरराईट करण्यास अनुमती देते.
- सीव्हीई -2022-22721: या भेद्यतेने 350 MB पेक्षा मोठ्या रिक्वेस्ट बॉडी पास करताना उद्भवणार्या पूर्णांक ओव्हरफ्लोमुळे बफरवर लिहीण्याच्या क्षमतेला अनुमती दिली. समस्या 32-बिट सिस्टमवर प्रकट होते ज्यामध्ये LimitXMLRequestBody मूल्य खूप जास्त कॉन्फिगर केले आहे (डिफॉल्टनुसार 1 MB, आक्रमणासाठी मर्यादा 350 MB पेक्षा जास्त असणे आवश्यक आहे).
- सीव्हीई -2022-22719: mod_lua मधील ही एक असुरक्षा आहे जी यादृच्छिक मेमरी क्षेत्रे वाचण्यास आणि जेव्हा विशेष तयार केलेल्या विनंती मुख्य भागावर प्रक्रिया केली जाते तेव्हा प्रक्रिया अवरोधित करण्यास अनुमती देते. r:parsebody फंक्शनच्या कोडमध्ये सुरू न केलेल्या मूल्यांच्या वापरामुळे समस्या उद्भवली आहे.
शेवटी आपण त्याबद्दल अधिक जाणून घेऊ इच्छित असल्यास या नवीन प्रकाशनाबद्दल, तुम्ही तपशील तपासू शकता खालील दुवा.
डाउनलोड करा
तुम्ही अधिकृत Apache वेबसाइटवर जाऊन नवीन आवृत्ती मिळवू शकता आणि त्याच्या डाउनलोड विभागात तुम्हाला नवीन आवृत्तीची लिंक मिळेल.