કેટલાક દિવસો પહેલા Apache HTTP 2.4.52 સર્વરના નવા સંસ્કરણના પ્રકાશનની જાહેરાત કરવામાં આવી હતી જેમાં લગભગ 25 ફેરફારો કરવામાં આવ્યા હતા અને વધુમાં 2 નબળાઈઓમાં સુધારો કરવામાં આવ્યો હતો.
જેઓ હજુ પણ Apache HTTP સર્વર વિશે અજાણ છે, તેઓએ જાણવું જોઈએ કે આ એક ઓપન સોર્સ, ક્રોસ-પ્લેટફોર્મ HTTP વેબ સર્વર છે જે HTTP/1.1 પ્રોટોકોલ અને RFC 2616 સ્ટાન્ડર્ડ અનુસાર વર્ચ્યુઅલ સાઇટની કલ્પનાને અમલમાં મૂકે છે.
Apache HTTP 2.4.52 માં નવું શું છે?
સર્વરના આ નવા સંસ્કરણમાં આપણે તે શોધી શકીએ છીએ mod_ssl માં OpenSSL 3 લાઇબ્રેરી સાથે બિલ્ડીંગ માટે આધાર ઉમેર્યોવધુમાં, ઓટોકોન્ફ સ્ક્રિપ્ટ્સમાં ઓપનએસએસએલ લાઇબ્રેરીમાં શોધ સુધારેલ હતી.
અન્ય નવીનતા જે આ નવા સંસ્કરણમાં બહાર આવે છે તે છે મોડ_પ્રોક્સી ટનલિંગ પ્રોટોકોલ્સ માટે, TCP જોડાણોના પુનઃદિશામાનને અક્ષમ કરવું શક્ય છે "SetEnv proxy-nohalfclose" પરિમાણ સેટ કરીને અડધું બંધ.
En mod_proxy_connect અને mod_proxy, સ્ટેટસ કોડ બદલવાની મનાઈ છે ગ્રાહકને મોકલ્યા પછી.
જ્યારે mod_dav CalDAV એક્સ્ટેંશન માટે સપોર્ટ ઉમેરે છે, જે પ્રોપર્ટી જનરેટ કરતી વખતે ડોક્યુમેન્ટ અને પ્રોપર્ટી એલિમેન્ટ્સ બંનેને ધ્યાનમાં લેવું જોઈએ. નવા dav_validate_root_ns (), dav_find_child_ns (), dav_find_next_ns (), dav_find_attr_ns () અને dav_find_attr () ફંક્શન ઉમેરવામાં આવ્યા છે, જેને અન્ય મોડ્યુલમાંથી કૉલ કરી શકાય છે.
En mod_http2, અયોગ્ય વર્તન તરફ દોરી જતા પછાત ફેરફારોને ઠીક કરવામાં આવ્યા છે જ્યારે MaxRequestsPerChild અને MaxConnectionsPerChild અવરોધોને હેન્ડલ કરો.
એ પણ નોંધ્યું છે કે ACME પ્રોટોકોલ (ઓટોમેટિક સર્ટિફિકેટ મેનેજમેન્ટ એન્વાયર્નમેન્ટ) દ્વારા પ્રમાણપત્રોના સ્વાગત અને જાળવણીને સ્વચાલિત કરવા માટે ઉપયોગમાં લેવાતા mod_md મોડ્યુલની ક્ષમતાઓને વિસ્તૃત કરવામાં આવી છે:
ACME મિકેનિઝમ માટે ઉમેરાયેલ સપોર્ટ એક્સટર્નલ એકાઉન્ટ બાઈન્ડિંગ (EAB), જે MDExternalAccountBinding ડાયરેક્ટિવ દ્વારા સક્ષમ કરેલ છે. EAB માટેના મૂલ્યો બાહ્ય JSON ફાઇલમાંથી ગોઠવી શકાય છે જેથી કરીને પ્રમાણીકરણ પરિમાણો મુખ્ય સર્વર રૂપરેખાંકન ફાઇલમાં ખુલ્લા ન થાય.
નિર્દેશક 'MDCertificateAuthority' ની ચકાસણી પૂરી પાડે છે url પરિમાણમાં સંકેત http / https અથવા પૂર્વવ્યાખ્યાયિત નામોમાંથી એક ('LetsEncrypt', 'LetsEncrypt-Test', 'Buypass' અને 'Buypass-Test').
અન્ય ફેરફારો કે જે આ નવા સંસ્કરણમાં અલગ છે:
- પ્રોક્સી માટે નિર્ધારિત ન હોય તેવા URIsમાં http / https સ્કીમ હોય છે, પરંતુ પ્રોક્સી માટે નિર્ધારિત હોય તે હોસ્ટનામ ધરાવે છે તે વધારાના ચેક ઉમેર્યા છે.
- વિનંતીની વર્તમાન સ્થિતિને બદલે "100 ચાલુ રાખો" સ્થિતિનું પરિણામ સૂચવવા માટે "અપેક્ષા: 100-ચાલુ રાખો" હેડર સાથે વિનંતીઓ પ્રાપ્ત કર્યા પછી વચગાળાના પ્રતિભાવો મોકલવાનું પ્રદાન કરવામાં આવે છે.
- Mpm_event સર્વર લોડમાં વધારો થયા પછી નિષ્ક્રિય બાળ પ્રક્રિયાઓને રોકવાની સમસ્યાને હલ કરે છે.
- તેને વિભાગમાં MDContactEmail નિર્દેશનો ઉલ્લેખ કરવાની મંજૂરી છે .
- કેટલીક ભૂલોને ઠીક કરવામાં આવી છે, જેમાં મેમરી લીકનો સમાવેશ થાય છે જે ખાનગી કી લોડ ન થાય ત્યારે થાય છે.
આ માટે નબળાઈઓ જે નિશ્ચિત કરવામાં આવી હતી આ નવા સંસ્કરણમાં નીચેનાનો ઉલ્લેખ કરવામાં આવ્યો છે:
- CVE 2021-44790: મોડ_લુઆમાં બફર ઓવરફ્લો, પાર્સિંગ વિનંતીઓ પ્રગટ થઈ, જેમાં બહુવિધ ભાગો (મલ્ટિપાર્ટ) છે. નબળાઈ રૂપરેખાંકનોને અસર કરે છે જેમાં લુઆ સ્ક્રિપ્ટ્સ વિનંતીના મુખ્ય ભાગને પાર્સ કરવા માટે r: parsebody () ફંક્શનને કૉલ કરે છે અને હુમલાખોરને ખાસ રચિત વિનંતી મોકલીને બફર ઓવરફ્લો પ્રાપ્ત કરવાની મંજૂરી આપે છે. શોષણની હાજરીની હકીકતો હજુ સુધી ઓળખવામાં આવી નથી, પરંતુ સંભવિત રૂપે સમસ્યા તમારા કોડને સર્વર પર એક્ઝિક્યુટ કરવામાં પરિણમી શકે છે.
- SSRF નબળાઈ (સર્વર સાઇડ રિક્વેસ્ટ ફોર્જરી): mod_proxy માં, જે "ProxyRequests on" વિકલ્પ સાથે રૂપરેખાંકનોમાં, ખાસ બનાવેલ URI ની વિનંતી દ્વારા, વિનંતીને તે જ સર્વર પરના બીજા નિયંત્રકને રીડાયરેક્ટ કરવાની મંજૂરી આપે છે જે સોકેટ યુનિક્સ દ્વારા જોડાણો સ્વીકારે છે. ડોમેન સમસ્યાનો ઉપયોગ નલ પોઇન્ટરના સંદર્ભને દૂર કરવા માટે શરતો બનાવીને ક્રેશ થવા માટે પણ થઈ શકે છે. સમસ્યા 2.4.7 થી અપાચેની httpd આવૃત્તિઓને અસર કરે છે.
છેલ્લે, જો તમને આ નવા પ્રકાશિત સંસ્કરણ વિશે વધુ જાણવામાં રસ હોય, તો તમે વિગતો તપાસી શકો છો નીચેની કડી.