சில நாட்களுக்கு முன்பு வெளியீடு சேவையகத்தின் புதிய திருத்த பதிப்பு HTTP அப்பாச்சி 2.4.53, இது 14 மாற்றங்களை அறிமுகப்படுத்துகிறது மற்றும் 4 பாதிப்புகளை சரி செய்கிறது. என்று இந்த புதிய பதிப்பின் அறிவிப்பில் குறிப்பிடப்பட்டுள்ளது இது கிளையின் கடைசி வெளியீடு Apache HTTPD இன் 2.4.x வெளியீடு மற்றும் திட்டத்தின் பதினைந்து ஆண்டுகால புதுமைகளைக் குறிக்கிறது, மேலும் இது முந்தைய அனைத்து பதிப்புகளிலும் பரிந்துரைக்கப்படுகிறது.
அப்பாச்சியைப் பற்றி தெரியாதவர்கள், இது என்று தெரிந்து கொள்ள வேண்டும் ஒரு பிரபலமான திறந்த மூல HTTP வலை சேவையகம், இது யூனிக்ஸ் இயங்குதளங்களுக்கு (பி.எஸ்.டி, குனு / லினக்ஸ் போன்றவை), மைக்ரோசாப்ட் விண்டோஸ், மேகிண்டோஷ் மற்றும் பிறவற்றிற்குக் கிடைக்கிறது.
அப்பாச்சி 2.4.53 இல் புதியது என்ன?
Apache 2.4.53 இன் இந்தப் புதிய பதிப்பின் வெளியீட்டில், பாதுகாப்பு அல்லாத குறிப்பிடத்தக்க மாற்றங்கள் mod_proxy இல், எழுத்துகளின் எண்ணிக்கையின் வரம்பு அதிகரிக்கப்பட்டது கட்டுப்படுத்தியின் பெயரில், மேலும் ஆற்றலுக்கான திறனும் சேர்க்கப்பட்டது பின்தளம் மற்றும் முன்பக்கத்திற்கான காலக்கெடுவை தேர்ந்தெடுத்து கட்டமைக்கவும் (உதாரணமாக, ஒரு தொழிலாளி தொடர்பாக). Websockets அல்லது CONNECT முறை வழியாக அனுப்பப்படும் கோரிக்கைகளுக்கு, பின்தளம் மற்றும் முன்பக்கத்திற்கான அதிகபட்ச மதிப்புக்கு காலக்கெடு மாற்றப்பட்டது.
இந்த புதிய பதிப்பில் வெளிப்படும் மற்றொரு மாற்றம் DBM கோப்புகளைத் திறப்பதற்கும் DBM இயக்கியை ஏற்றுவதற்கும் தனித்தனி கையாளுதல். விபத்து ஏற்பட்டால், பதிவு இப்போது பிழை மற்றும் இயக்கி பற்றிய விரிவான தகவல்களைக் காட்டுகிறது.
En mod_md /.well-known/acme-challenge/ க்கான கோரிக்கைகளை செயலாக்குவதை நிறுத்தியது டொமைன் கட்டமைப்பு வெளிப்படையாக 'http-01' சவால் வகையைப் பயன்படுத்தினால் தவிர, mod_dav இல் ஒரு பின்னடைவு சரி செய்யப்பட்டது, இது அதிக எண்ணிக்கையிலான வளங்களைச் செயலாக்கும் போது அதிக நினைவக நுகர்வை ஏற்படுத்தியது.
மறுபுறம், இதுவும் சிறப்பிக்கப்படுகிறது pcre2 நூலகத்தைப் பயன்படுத்தும் திறன் (10.x) வழக்கமான வெளிப்பாடுகளை செயலாக்க pcre (8.x) க்குப் பதிலாக, மேலும் LDAP கட்டுமான மாற்றுத் தாக்குதல்களைச் செய்ய முயற்சிக்கும்போது தரவைச் சரியாக வடிகட்ட வினவல் வடிப்பான்களுக்கு LDAP ஒழுங்கின்மை பாகுபடுத்தும் ஆதரவைச் சேர்த்தது. அதிக ஏற்றப்பட்ட அமைப்புகள்.
பாதிப்புகளில் இந்த புதிய பதிப்பில் தீர்க்கப்பட்டவை, பின்வருபவை குறிப்பிடப்பட்டுள்ளன:
- சி.வி.இ -2022-22720: இது "HTTP கோரிக்கை கடத்தல்" தாக்குதலை நடத்துவதற்கான சாத்தியத்தை அனுமதித்தது, இது சிறப்பாக வடிவமைக்கப்பட்ட கிளையன்ட் கோரிக்கைகளை அனுப்புவதன் மூலம், mod_proxy மூலம் அனுப்பப்படும் பிற பயனர்களின் கோரிக்கைகளின் உள்ளடக்கத்தை ஹேக் செய்ய அனுமதிக்கிறது (எடுத்துக்காட்டாக, இது தளத்தின் மற்றொரு பயனரின் அமர்வில் தீங்கிழைக்கும் JavaScript குறியீடு). தவறான கோரிக்கை அமைப்பைச் செயலாக்குவதில் பிழைகள் ஏற்பட்ட பிறகு உள்வரும் இணைப்புகளைத் திறந்து விடுவதால் இந்தச் சிக்கல் ஏற்படுகிறது.
- சி.வி.இ -2022-23943: இது mod_sed தொகுதியில் இடையக வழிதல் பாதிப்பாகும், இது தாக்குபவர்-கட்டுப்படுத்தப்பட்ட தரவு மூலம் ஹீப் நினைவகத்தை மேலெழுத அனுமதிக்கிறது.
- சி.வி.இ -2022-22721: இந்த பாதிப்பு 350 MB க்கும் அதிகமான கோரிக்கையை அனுப்பும் போது ஏற்படும் முழு எண் வழிதல் காரணமாக வரம்பிற்கு வெளியே இடையகத்திற்கு எழுதும் திறனை அனுமதித்தது. LimitXMLRequestBody மதிப்பு மிக அதிகமாக உள்ளமைக்கப்பட்ட 32-பிட் கணினிகளில் சிக்கல் வெளிப்படுகிறது (இயல்புநிலையாக 1 MB, தாக்குதலுக்கு வரம்பு 350 MB ஐ விட அதிகமாக இருக்க வேண்டும்).
- சி.வி.இ -2022-22719: இது mod_lua இல் உள்ள பாதிப்பாகும், இது சீரற்ற நினைவகப் பகுதிகளைப் படிக்கவும், சிறப்பாக வடிவமைக்கப்பட்ட கோரிக்கை அமைப்பு செயலாக்கப்படும்போது செயல்முறையைத் தடுக்கவும் அனுமதிக்கிறது. r:parsebody செயல்பாட்டின் குறியீட்டில் தொடங்கப்படாத மதிப்புகளைப் பயன்படுத்துவதால் சிக்கல் ஏற்படுகிறது.
இறுதியாக நீங்கள் அதைப் பற்றி மேலும் அறிய விரும்பினால் இந்த புதிய வெளியீட்டைப் பற்றி, நீங்கள் விவரங்களை சரிபார்க்கலாம் பின்வரும் இணைப்பு.
வெளியேற்ற
அதிகாரப்பூர்வ அப்பாச்சி வலைத்தளத்திற்குச் சென்று புதிய பதிப்பைப் பெறலாம் மற்றும் அதன் பதிவிறக்கப் பிரிவில் புதிய பதிப்பிற்கான இணைப்பைக் காணலாம்.