ಹಲವಾರು ದಿನಗಳ ಹಿಂದೆ Apache HTTP 2.4.52 ಸರ್ವರ್ನ ಹೊಸ ಆವೃತ್ತಿಯ ಬಿಡುಗಡೆಯನ್ನು ಘೋಷಿಸಲಾಯಿತು ಇದರಲ್ಲಿ ಸುಮಾರು 25 ಬದಲಾವಣೆಗಳನ್ನು ಮಾಡಲಾಗಿದೆ ಮತ್ತು ಹೆಚ್ಚುವರಿಯಾಗಿ ತಿದ್ದುಪಡಿಯನ್ನು 2 ದುರ್ಬಲತೆಗಳನ್ನು ಮಾಡಲಾಗಿದೆ.
ಅಪಾಚೆ ಎಚ್ಟಿಟಿಪಿ ಸರ್ವರ್ನ ಬಗ್ಗೆ ಇನ್ನೂ ತಿಳಿದಿಲ್ಲದವರಿಗೆ, ಇದು ಆರ್ಎಫ್ಸಿ 1.1 ಮಾನದಂಡದ ಪ್ರಕಾರ ಎಚ್ಟಿಟಿಪಿ / 2616 ಪ್ರೋಟೋಕಾಲ್ ಮತ್ತು ವರ್ಚುವಲ್ ಸೈಟ್ನ ಕಲ್ಪನೆಯನ್ನು ಅಳವಡಿಸುವ ಓಪನ್ ಸೋರ್ಸ್, ಕ್ರಾಸ್-ಪ್ಲಾಟ್ಫಾರ್ಮ್ ಎಚ್ಟಿಟಿಪಿ ವೆಬ್ ಸರ್ವರ್ ಎಂದು ಅವರು ತಿಳಿದಿರಬೇಕು.
Apache HTTP 2.4.52 ನಲ್ಲಿ ಹೊಸದೇನಿದೆ?
ಸರ್ವರ್ನ ಈ ಹೊಸ ಆವೃತ್ತಿಯಲ್ಲಿ ನಾವು ಅದನ್ನು ಕಾಣಬಹುದು mod_ssl ನಲ್ಲಿ OpenSSL 3 ಲೈಬ್ರರಿಯೊಂದಿಗೆ ನಿರ್ಮಿಸಲು ಬೆಂಬಲವನ್ನು ಸೇರಿಸಲಾಗಿದೆಹೆಚ್ಚುವರಿಯಾಗಿ, ಆಟೋಕಾನ್ಫ್ ಸ್ಕ್ರಿಪ್ಟ್ಗಳಲ್ಲಿನ OpenSSL ಲೈಬ್ರರಿಯಲ್ಲಿ ಪತ್ತೆಯನ್ನು ಸುಧಾರಿಸಲಾಗಿದೆ.
ಈ ಹೊಸ ಆವೃತ್ತಿಯಲ್ಲಿ ಎದ್ದು ಕಾಣುವ ಮತ್ತೊಂದು ಹೊಸತನವು ದಿ mod_proxy ಸುರಂಗ ಪ್ರೋಟೋಕಾಲ್ಗಳಿಗಾಗಿ, TCP ಸಂಪರ್ಕಗಳ ಮರುನಿರ್ದೇಶನವನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಲು ಸಾಧ್ಯವಿದೆ "SetEnv proxy-nohalfclose" ನಿಯತಾಂಕವನ್ನು ಹೊಂದಿಸುವ ಮೂಲಕ ಅರ್ಧವನ್ನು ಮುಚ್ಚಲಾಗಿದೆ.
En mod_proxy_connect ಮತ್ತು mod_proxy, ಸ್ಥಿತಿ ಕೋಡ್ ಅನ್ನು ಬದಲಾಯಿಸಲು ಇದನ್ನು ನಿಷೇಧಿಸಲಾಗಿದೆ ಅದನ್ನು ಗ್ರಾಹಕರಿಗೆ ಕಳುಹಿಸಿದ ನಂತರ.
ಒಳಗೆ ಇರುವಾಗ mod_dav CalDAV ವಿಸ್ತರಣೆಗಳಿಗೆ ಬೆಂಬಲವನ್ನು ಸೇರಿಸುತ್ತದೆ, ಆಸ್ತಿಯನ್ನು ರಚಿಸುವಾಗ ಇದು ಡಾಕ್ಯುಮೆಂಟ್ ಮತ್ತು ಆಸ್ತಿ ಅಂಶಗಳನ್ನು ಗಣನೆಗೆ ತೆಗೆದುಕೊಳ್ಳಬೇಕು. ಹೊಸ dav_validate_root_ns (), dav_find_child_ns (), dav_find_next_ns (), dav_find_attr_ns () ಮತ್ತು dav_find_attr () ಕಾರ್ಯಗಳನ್ನು ಸೇರಿಸಲಾಗಿದೆ, ಇದನ್ನು ಇತರ ಮಾಡ್ಯೂಲ್ಗಳಿಂದ ಕರೆಯಬಹುದು.
En mod_http2, ತಪ್ಪು ನಡವಳಿಕೆಗೆ ಕಾರಣವಾಗುವ ಹಿಂದುಳಿದ ಬದಲಾವಣೆಗಳನ್ನು ಸರಿಪಡಿಸಲಾಗಿದೆ MaxRequestsPerChild ಮತ್ತು MaxConnectionsPerChild ನಿರ್ಬಂಧಗಳನ್ನು ನಿರ್ವಹಿಸುವಾಗ.
ACME ಪ್ರೋಟೋಕಾಲ್ (ಸ್ವಯಂಚಾಲಿತ ಪ್ರಮಾಣಪತ್ರ ನಿರ್ವಹಣೆ ಪರಿಸರ) ಮೂಲಕ ಪ್ರಮಾಣಪತ್ರಗಳ ಸ್ವಾಗತ ಮತ್ತು ನಿರ್ವಹಣೆಯನ್ನು ಸ್ವಯಂಚಾಲಿತಗೊಳಿಸಲು ಬಳಸಲಾಗುವ mod_md ಮಾಡ್ಯೂಲ್ನ ಸಾಮರ್ಥ್ಯಗಳನ್ನು ವಿಸ್ತರಿಸಲಾಗಿದೆ ಎಂದು ಸಹ ಗಮನಿಸಲಾಗಿದೆ:
ACME ಯಾಂತ್ರಿಕತೆಗೆ ಬೆಂಬಲವನ್ನು ಸೇರಿಸಲಾಗಿದೆ ಬಾಹ್ಯ ಖಾತೆ ಬೈಂಡಿಂಗ್ (EAB), ಇದು MDEexternalAccountBinding ನಿರ್ದೇಶನದಿಂದ ಸಕ್ರಿಯಗೊಳಿಸಲಾಗಿದೆ. EAB ಗಾಗಿ ಮೌಲ್ಯಗಳನ್ನು ಬಾಹ್ಯ JSON ಫೈಲ್ನಿಂದ ಕಾನ್ಫಿಗರ್ ಮಾಡಬಹುದು ಆದ್ದರಿಂದ ದೃಢೀಕರಣ ನಿಯತಾಂಕಗಳನ್ನು ಮುಖ್ಯ ಸರ್ವರ್ ಕಾನ್ಫಿಗರೇಶನ್ ಫೈಲ್ನಲ್ಲಿ ಬಹಿರಂಗಪಡಿಸಲಾಗುವುದಿಲ್ಲ.
ನಿರ್ದೇಶನ 'MDCertificateAuthority' ಪರಿಶೀಲನೆಯನ್ನು ಒದಗಿಸುತ್ತದೆ url ಪ್ಯಾರಾಮೀಟರ್ನಲ್ಲಿನ ಸೂಚನೆ http / https ಅಥವಾ ಪೂರ್ವನಿರ್ಧರಿತ ಹೆಸರುಗಳಲ್ಲಿ ಒಂದು ('LetsEncrypt', 'LetsEncrypt-Test', 'Buypass' ಮತ್ತು 'Buypass-Test').
ಈ ಹೊಸ ಆವೃತ್ತಿಯಲ್ಲಿ ಎದ್ದು ಕಾಣುವ ಇತರ ಬದಲಾವಣೆಗಳು:
- ಪ್ರಾಕ್ಸಿಗಾಗಿ ಉದ್ದೇಶಿಸದ URIಗಳು http / https ಸ್ಕೀಮ್ ಅನ್ನು ಒಳಗೊಂಡಿರುತ್ತವೆ, ಆದರೆ ಪ್ರಾಕ್ಸಿಗಾಗಿ ಉದ್ದೇಶಿಸಿರುವವುಗಳು ಹೋಸ್ಟ್ ಹೆಸರನ್ನು ಒಳಗೊಂಡಿರುವ ಹೆಚ್ಚುವರಿ ಪರಿಶೀಲನೆಗಳನ್ನು ಸೇರಿಸಲಾಗಿದೆ.
- ವಿನಂತಿಯ ಪ್ರಸ್ತುತ ಸ್ಥಿತಿಯ ಬದಲಿಗೆ "100 ಮುಂದುವರಿಸಿ" ಸ್ಥಿತಿಯ ಫಲಿತಾಂಶವನ್ನು ಸೂಚಿಸಲು "ನಿರೀಕ್ಷಿಸಿ: 100-ಮುಂದುವರಿಸಿ" ಹೆಡರ್ನೊಂದಿಗೆ ವಿನಂತಿಗಳನ್ನು ಸ್ವೀಕರಿಸಿದ ನಂತರ ಮಧ್ಯಂತರ ಪ್ರತಿಕ್ರಿಯೆಗಳನ್ನು ಕಳುಹಿಸಲಾಗುತ್ತಿದೆ.
- Mpm_event ಸರ್ವರ್ ಲೋಡ್ನಲ್ಲಿನ ಸ್ಪೈಕ್ ನಂತರ ನಿಷ್ಕ್ರಿಯ ಮಕ್ಕಳ ಪ್ರಕ್ರಿಯೆಗಳನ್ನು ನಿಲ್ಲಿಸುವ ಸಮಸ್ಯೆಯನ್ನು ಪರಿಹರಿಸುತ್ತದೆ.
- ವಿಭಾಗದೊಳಗೆ MDContactEmail ನಿರ್ದೇಶನವನ್ನು ನಿರ್ದಿಷ್ಟಪಡಿಸಲು ಅನುಮತಿಸಲಾಗಿದೆ .
- ಖಾಸಗಿ ಕೀಲಿಯನ್ನು ಲೋಡ್ ಮಾಡದಿದ್ದಾಗ ಸಂಭವಿಸುವ ಮೆಮೊರಿ ಸೋರಿಕೆ ಸೇರಿದಂತೆ ಹಲವಾರು ದೋಷಗಳನ್ನು ಸರಿಪಡಿಸಲಾಗಿದೆ.
ಹಾಗೆ ಸರಿಪಡಿಸಲಾದ ದುರ್ಬಲತೆಗಳು ಈ ಹೊಸ ಆವೃತ್ತಿಯಲ್ಲಿ ಈ ಕೆಳಗಿನವುಗಳನ್ನು ಉಲ್ಲೇಖಿಸಲಾಗಿದೆ:
- CVE 2021-44790: mod_lua ನಲ್ಲಿ ಬಫರ್ ಓವರ್ಫ್ಲೋ, ಪಾರ್ಸಿಂಗ್ ವಿನಂತಿಗಳು ಪ್ರಕಟವಾಗಿದ್ದು, ಬಹು ಭಾಗಗಳನ್ನು (ಮಲ್ಟಿಪಾರ್ಟ್) ಒಳಗೊಂಡಿರುತ್ತದೆ. ದುರ್ಬಲತೆಯು ಲುವಾ ಸ್ಕ್ರಿಪ್ಟ್ಗಳು ಆರ್: ಪಾರ್ಸ್ಬಾಡಿ () ಕಾರ್ಯವನ್ನು ವಿನಂತಿಸುವ ದೇಹವನ್ನು ಪಾರ್ಸ್ ಮಾಡಲು ಕರೆಯುವ ಕಾನ್ಫಿಗರೇಶನ್ಗಳ ಮೇಲೆ ಪರಿಣಾಮ ಬೀರುತ್ತದೆ ಮತ್ತು ವಿಶೇಷವಾಗಿ ರಚಿಸಲಾದ ವಿನಂತಿಯನ್ನು ಕಳುಹಿಸುವ ಮೂಲಕ ಆಕ್ರಮಣಕಾರರಿಗೆ ಬಫರ್ ಓವರ್ಫ್ಲೋ ಅನ್ನು ಸಾಧಿಸಲು ಅನುವು ಮಾಡಿಕೊಡುತ್ತದೆ. ಶೋಷಣೆಯ ಉಪಸ್ಥಿತಿಯ ಸತ್ಯಗಳನ್ನು ಇನ್ನೂ ಗುರುತಿಸಬೇಕಾಗಿದೆ, ಆದರೆ ಸಂಭಾವ್ಯವಾಗಿ ಸಮಸ್ಯೆಯು ಸರ್ವರ್ನಲ್ಲಿ ನಿಮ್ಮ ಕೋಡ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸುವುದಕ್ಕೆ ಕಾರಣವಾಗಬಹುದು.
- SSRF ದುರ್ಬಲತೆ (ಸರ್ವರ್ ಸೈಡ್ ರಿಕ್ವೆಸ್ಟ್ ಫೋರ್ಜರಿ): mod_proxy ನಲ್ಲಿ, ಇದು "ProxyRequests ಆನ್" ಆಯ್ಕೆಯೊಂದಿಗೆ ಕಾನ್ಫಿಗರೇಶನ್ಗಳಲ್ಲಿ, ವಿಶೇಷವಾಗಿ ರಚಿಸಲಾದ URI ಯಿಂದ ವಿನಂತಿಯ ಮೂಲಕ, ಸಾಕೆಟ್ Unix ಮೂಲಕ ಸಂಪರ್ಕಗಳನ್ನು ಸ್ವೀಕರಿಸುವ ಅದೇ ಸರ್ವರ್ನಲ್ಲಿರುವ ಮತ್ತೊಂದು ನಿಯಂತ್ರಕಕ್ಕೆ ವಿನಂತಿಯನ್ನು ಮರುನಿರ್ದೇಶಿಸಲು ಅನುಮತಿಸುತ್ತದೆ. ಡೊಮೇನ್. ಶೂನ್ಯ ಪಾಯಿಂಟರ್ನ ಉಲ್ಲೇಖವನ್ನು ತೆಗೆದುಹಾಕಲು ಪರಿಸ್ಥಿತಿಗಳನ್ನು ರಚಿಸುವ ಮೂಲಕ ಕ್ರ್ಯಾಶ್ ಅನ್ನು ಉಂಟುಮಾಡಲು ಸಮಸ್ಯೆಯನ್ನು ಬಳಸಬಹುದು. ಸಮಸ್ಯೆಯು 2.4.7 ರಿಂದ ಅಪಾಚೆಯ httpd ಆವೃತ್ತಿಗಳ ಮೇಲೆ ಪರಿಣಾಮ ಬೀರುತ್ತದೆ.
ಅಂತಿಮವಾಗಿ, ಈ ಹೊಸ ಬಿಡುಗಡೆ ಆವೃತ್ತಿಯ ಕುರಿತು ಇನ್ನಷ್ಟು ತಿಳಿದುಕೊಳ್ಳಲು ನೀವು ಆಸಕ್ತಿ ಹೊಂದಿದ್ದರೆ, ನೀವು ವಿವರಗಳನ್ನು ಪರಿಶೀಲಿಸಬಹುದು ಕೆಳಗಿನ ಲಿಂಕ್.