बरेच दिवसांपूर्वी Apache HTTP 2.4.52 सर्व्हरच्या नवीन आवृत्तीचे प्रकाशन घोषित करण्यात आले ज्यामध्ये सुमारे 25 बदल करण्यात आले होते आणि त्याव्यतिरिक्त दुरुस्त्या करण्यात आल्या होत्या 2 भेद्यता.
ज्यांना अद्याप Apache HTTP सर्व्हरबद्दल माहिती नाही, त्यांना हे माहित असले पाहिजे की हा एक ओपन सोर्स, क्रॉस-प्लॅटफॉर्म HTTP वेब सर्व्हर आहे जो HTTP / 1.1 प्रोटोकॉल आणि RFC 2616 मानकानुसार आभासी साइटची कल्पना लागू करतो.
Apache HTTP 2.4.52 मध्ये नवीन काय आहे?
सर्व्हरच्या या नवीन आवृत्तीमध्ये आम्ही ते शोधू शकतो mod_ssl मध्ये OpenSSL 3 लायब्ररीसह बिल्डिंगसाठी समर्थन जोडलेयाशिवाय, ओपनएसएसएल लायब्ररीमध्ये ऑटोकॉन्फ स्क्रिप्टमध्ये शोध सुधारण्यात आला.
या नवीन आवृत्तीमध्ये आणखी एक नवीनता आहे mod_proxy टनेलिंग प्रोटोकॉलसाठी, TCP कनेक्शनचे पुनर्निर्देशन अक्षम करणे शक्य आहे "SetEnv proxy-nohalfclose" पॅरामीटर सेट करून अर्धा बंद.
En mod_proxy_connect आणि mod_proxy, स्थिती कोड बदलण्यास मनाई आहे ग्राहकाला पाठवल्यानंतर.
मध्ये असताना mod_dav CalDAV विस्तारांसाठी समर्थन जोडते, ज्याने मालमत्ता निर्माण करताना दस्तऐवज आणि मालमत्ता दोन्ही घटक विचारात घेतले पाहिजेत. नवीन dav_validate_root_ns (), dav_find_child_ns (), dav_find_next_ns (), dav_find_attr_ns () आणि dav_find_attr () फंक्शन जोडले गेले आहेत, जे इतर मॉड्यूल्समधून कॉल केले जाऊ शकतात.
En mod_http2, चुकीच्या वर्तनाकडे नेणारे मागास बदल निश्चित केले गेले आहेत MaxRequestsPerChild आणि MaxConnectionsPerChild मर्यादा हाताळताना.
ACME प्रोटोकॉल (ऑटोमॅटिक सर्टिफिकेट मॅनेजमेंट एन्व्हायर्नमेंट) द्वारे प्रमाणपत्रांचे रिसेप्शन आणि देखभाल स्वयंचलित करण्यासाठी वापरल्या जाणार्या mod_md मॉड्यूलच्या क्षमतांचा विस्तार केला गेला आहे:
ACME यंत्रणेसाठी समर्थन जोडले बाह्य खाते बंधन (EAB), जे MDExternalAccountBinding निर्देशाद्वारे सक्षम केले आहे. EAB ची मूल्ये बाह्य JSON फाईलमधून कॉन्फिगर केली जाऊ शकतात जेणेकरून प्रमाणीकरण पॅरामीटर्स मुख्य सर्व्हर कॉन्फिगरेशन फाइलमध्ये उघड होणार नाहीत.
निर्देशक 'MDCertificateAuthority' ची पडताळणी प्रदान करते url पॅरामीटरमधील संकेत http / https किंवा पूर्वनिर्धारित नावांपैकी एक ('LetsEncrypt', 'LetsEncrypt-Test', 'Buypass' आणि 'Buypass-Test').
या नवीन आवृत्तीमध्ये वेगळे दिसणारे इतर बदल:
- प्रॉक्सीसाठी नियत नसलेल्या URI मध्ये http / https स्कीम असते, परंतु प्रॉक्सीसाठी नियत केलेल्या URI मध्ये होस्टनाव असते हे अतिरिक्त तपासण्या जोडल्या.
- विनंतीच्या वर्तमान स्थितीऐवजी "100 सुरू ठेवा" स्थितीचा परिणाम दर्शविण्यासाठी "अपेक्षित: 100-सुरू ठेवा" शीर्षलेखासह विनंत्या प्राप्त झाल्यानंतर अंतरिम प्रतिसाद पाठवणे प्रदान केले जाते.
- Mpm_event सर्व्हर लोड वाढल्यानंतर निष्क्रिय चाइल्ड प्रक्रिया थांबवण्याची समस्या सोडवते.
- विभागामध्ये MDContactEmail निर्देश निर्दिष्ट करण्याची परवानगी आहे .
- खाजगी की लोड न केल्यावर होणार्या मेमरी लीकसह अनेक बगचे निराकरण केले आहे.
साठी म्हणून असुरक्षा ज्या निश्चित केल्या होत्या या नवीन आवृत्तीमध्ये खालील गोष्टींचा उल्लेख आहे:
- CVE 2021-44790: mod_lua मध्ये बफर ओव्हरफ्लो, अनेक भाग (मल्टीपार्ट) असलेल्या विनंत्या विश्लेषित केल्या आहेत. असुरक्षा कॉन्फिगरेशनवर परिणाम करते ज्यामध्ये Lua स्क्रिप्ट्स विनंती बॉडीचे विश्लेषण करण्यासाठी r: parsebody () फंक्शनला कॉल करते आणि आक्रमणकर्त्याला खास तयार केलेली विनंती पाठवून बफर ओव्हरफ्लो प्राप्त करण्यास अनुमती देते. शोषणाच्या उपस्थितीचे तथ्य अद्याप ओळखले गेले नाही, परंतु संभाव्य समस्यामुळे तुमचा कोड सर्व्हरवर कार्यान्वित होऊ शकतो.
- SSRF भेद्यता (सर्व्हर साइड रिक्वेस्ट फोर्जरी): mod_proxy मध्ये, जे "ProxyRequests on" पर्यायासह कॉन्फिगरेशनमध्ये, खास तयार केलेल्या URI कडून विनंती करून, त्याच सर्व्हरवरील दुसर्या कंट्रोलरकडे विनंती पुनर्निर्देशित करण्यास परवानगी देते जे सॉकेट युनिक्सद्वारे कनेक्शन स्वीकारते. डोमेन शून्य पॉइंटरचा संदर्भ काढून टाकण्यासाठी परिस्थिती निर्माण करून क्रॅश होण्यासाठी समस्या देखील वापरली जाऊ शकते. समस्या 2.4.7 पासून Apache च्या httpd आवृत्त्यांवर परिणाम करते.
शेवटी, तुम्हाला या नवीन रिलीझ केलेल्या आवृत्तीबद्दल अधिक जाणून घेण्यात स्वारस्य असल्यास, तुम्ही तपशील तपासू शकता खालील दुवा.