काफी दिनों बाद Apache HTTP 2.4.52 सर्वर के नए संस्करण को जारी करने की घोषणा की गई थी जिसमें लगभग 25 बदलाव किए गए थे और इसके अलावा 2 कमजोरियों का सुधार किया गया था।
उन लोगों के लिए जो अभी भी Apache HTTP सर्वर से अनजान हैं, उन्हें पता होना चाहिए कि यह एक खुला स्रोत, क्रॉस-प्लेटफ़ॉर्म HTTP वेब सर्वर है जो HTTP / 1.1 प्रोटोकॉल और वर्चुअल साइट की धारणा को RFC 2616 मानक के अनुसार लागू करता है।
Apache HTTP 2.4.52 में नया क्या है?
सर्वर के इस नए संस्करण में हम पा सकते हैं कि mod_ssl . में OpenSSL 3 लाइब्रेरी के साथ निर्माण के लिए अतिरिक्त समर्थनइसके अलावा, ऑटोकॉन्फ़ स्क्रिप्ट में ओपनएसएसएल लाइब्रेरी में डिटेक्शन में सुधार किया गया था।
इस नए संस्करण में एक और नवीनता सामने आई है mod_proxy टनलिंग प्रोटोकॉल के लिए, टीसीपी कनेक्शन के पुनर्निर्देशन को अक्षम करना संभव है "SetEnv प्रॉक्सी-नोहाल्फ़क्लोज़" पैरामीटर सेट करके आधा बंद कर दिया गया है।
En mod_proxy_connect और mod_proxy, स्थिति कोड को बदलना मना है ग्राहक को भेजने के बाद।
अंदर जबकि mod_dav CalDAV एक्सटेंशन के लिए समर्थन जोड़ता है, जो संपत्ति बनाते समय दस्तावेज़ और संपत्ति दोनों तत्वों को ध्यान में रखना चाहिए। नए dav_validate_root_ns (), dav_find_child_ns (), dav_find_next_ns (), dav_find_attr_ns () और dav_find_attr () फ़ंक्शन जोड़े गए हैं, जिन्हें अन्य मॉड्यूल से कॉल किया जा सकता है।
En mod_http2, गलत व्यवहार की ओर ले जाने वाले पिछड़े परिवर्तन को ठीक कर दिया गया है MaxRequestsPerChild और MaxConnectionsPerChild बाधाओं को संभालते समय।
यह भी ध्यान दिया जाता है कि ACME प्रोटोकॉल (स्वचालित प्रमाणपत्र प्रबंधन पर्यावरण) के माध्यम से प्रमाणपत्रों के स्वागत और रखरखाव को स्वचालित करने के लिए उपयोग किए जाने वाले mod_md मॉड्यूल की क्षमताओं का विस्तार किया गया है:
एसीएमई तंत्र के लिए जोड़ा गया समर्थन बाहरी खाता बाइंडिंग (EAB), जो MDExternalAccountBinding निर्देश द्वारा सक्षम है। ईएबी के मूल्यों को बाहरी JSON फ़ाइल से कॉन्फ़िगर किया जा सकता है ताकि प्रमाणीकरण पैरामीटर मुख्य सर्वर कॉन्फ़िगरेशन फ़ाइल में उजागर न हों।
आदेश 'MDCertificateAuthority' का सत्यापन प्रदान करता है यूआरएल पैरामीटर में संकेत एचटीटीपी / https या पूर्वनिर्धारित नामों में से एक ('लेट्सएनक्रिप्ट', 'लेट्सएनक्रिप्ट-टेस्ट', 'बायपास' और 'बायपास-टेस्ट')।
इस नए संस्करण में अन्य परिवर्तनों में से:
- अतिरिक्त जाँचें जोड़ी गईं कि URI जो प्रॉक्सी के लिए अभिप्रेत नहीं हैं, उनमें http / https योजना है, लेकिन जो प्रॉक्सी के लिए अभिप्रेत हैं उनमें होस्टनाम शामिल है।
- अनुरोध की वर्तमान स्थिति के बजाय "100 जारी रखें" स्थिति के परिणाम को इंगित करने के लिए "उम्मीद: 100-जारी रखें" शीर्षलेख के साथ अनुरोध प्राप्त करने के बाद अंतरिम प्रतिक्रिया भेजना प्रदान किया जाता है।
- Mpm_event सर्वर लोड में स्पाइक के बाद निष्क्रिय चाइल्ड प्रोसेस को रोकने की समस्या को हल करता है।
- इसे अनुभाग के भीतर MDContactEmail निर्देश निर्दिष्ट करने की अनुमति है .
- कई बगों को ठीक किया गया है, जिसमें एक निजी कुंजी लोड नहीं होने पर होने वाली स्मृति रिसाव भी शामिल है।
के बारे में कमजोरियां जो तय की गई थीं इस नए संस्करण में निम्नलिखित का उल्लेख किया गया है:
- सीवीई 2021-44790: Mod_lua में बफर ओवरफ्लो, कई भागों (मल्टीपार्ट) से मिलकर, पार्सिंग अनुरोध प्रकट हुए। भेद्यता कॉन्फ़िगरेशन को प्रभावित करती है जिसमें लुआ स्क्रिप्ट अनुरोध निकाय को पार्स करने के लिए आर: पार्सबॉडी () फ़ंक्शन को कॉल करती है और एक हमलावर को विशेष रूप से तैयार किए गए अनुरोध भेजकर बफर ओवरफ़्लो प्राप्त करने की अनुमति देती है। एक कारनामे की उपस्थिति के तथ्यों की अभी तक पहचान नहीं की गई है, लेकिन संभावित रूप से समस्या आपके कोड को सर्वर पर निष्पादित करने का कारण बन सकती है।
- SSRF भेद्यता (सर्वर साइड अनुरोध जालसाजी): mod_proxy में, जो "ProxyRequests ऑन" विकल्प के साथ कॉन्फ़िगरेशन में, विशेष रूप से गठित यूआरआई से अनुरोध के माध्यम से, उसी सर्वर पर किसी अन्य नियंत्रक के अनुरोध को पुनर्निर्देशित करने की अनुमति देता है जो सॉकेट यूनिक्स के माध्यम से कनेक्शन स्वीकार करता है। कार्यक्षेत्र। समस्या का उपयोग शून्य सूचक के संदर्भ को हटाने के लिए स्थितियां बनाकर दुर्घटना का कारण बनने के लिए भी किया जा सकता है। समस्या 2.4.7 से अपाचे के httpd संस्करणों को प्रभावित करती है।
अंत में, यदि आप इस नए जारी किए गए संस्करण के बारे में अधिक जानने में रुचि रखते हैं, तो आप विवरण की जांच कर सकते हैं निम्नलिखित लिंक।