અપાચે સૉફ્ટવેર ફાઉન્ડેશન અને અપાચે એચટીટીપી સર્વર પ્રોજેક્ટે તાજેતરમાં નું નવું સંસ્કરણ રિલીઝ કરવાની જાહેરાત કરી છે Apache HTTP સર્વર 2.4.54, અપાચેનું આ સંસ્કરણ છે તે નવીનતમ GA સંસ્કરણ છે Apache HTTPD નેક્સ્ટ જનરેશન 2.4.x શાખાની અને પ્રોજેક્ટ દ્વારા પંદર વર્ષની નવીનતાનું પ્રતિનિધિત્વ કરે છે અને અગાઉના તમામ સંસ્કરણો પર તેની ભલામણ કરવામાં આવે છે. અપાચેનું આ પ્રકાશન સુરક્ષા, વિશેષતા અને બગ ફિક્સ રીલીઝ છે.
નવી આવૃત્તિ જે એસe પ્રસ્તુત 19 ફેરફારો રજૂ કરે છે અને 8 નબળાઈઓને સુધારે છે, જેમાંથી કેટલાકે ડેટાની ઍક્સેસની મંજૂરી આપી હતી, તે અન્ય બાબતોની સાથે સેવાને નકારવા તરફ દોરી શકે છે.
Apache HTTP સર્વર 2.4.54 ના મુખ્ય નવા લક્ષણો
આ નવા સંસ્કરણમાં જે Apache HTTP સર્વર 2.4.54 નું પ્રસ્તુત છે mod_md માં, MDCertificateAuthority ડાયરેક્ટિવ એક કરતાં વધુ CA નામ અને URL ને મંજૂરી આપે છે, આ ઉપરાંત નવા નિર્દેશો ઉમેર્યા: MDRetryDelay (ફરી પ્રયાસની વિનંતી મોકલતા પહેલા વિલંબને વ્યાખ્યાયિત કરે છે) અને MDRetryFailover (વૈકલ્પિક CA પસંદ કરતા પહેલા નિષ્ફળતા પર પુનઃપ્રયાસોની સંખ્યા વ્યાખ્યાયિત કરે છે).
બીજો ફેરફાર જે બહાર આવે છે તે મોડ્યુલમાં છે mod_http2 બિનઉપયોગી અને અસુરક્ષિત કોડથી સાફ કરવામાં આવ્યું છે, જ્યારે mod_proxy માં બેકએન્ડ નેટવર્ક પોર્ટનું પ્રતિબિંબ હવે લોગ પર લખેલા ભૂલ સંદેશાઓમાં પ્રદાન કરવામાં આવે છે અને તે mod_heartmonitor માં HeartbeatMaxServers પેરામીટરની કિંમત 0 થી 10 (શેર કરેલ 10 મેમરી સ્લોટની શરૂઆત) થી બદલાઈ ગઈ છે.
બીજી બાજુ, અમે તે શોધી શકીએ છીએ "કી: મૂલ્ય" ફોર્મેટમાં મૂલ્યો પ્રદર્શિત કરતી વખતે "સ્વતઃ" સ્થિતિ માટે સમર્થન ઉમેર્યું, ઉપરાંત ટેઇલસ્કેલ સિક્યોર VPN વપરાશકર્તાઓ માટે પ્રમાણપત્રોનું સંચાલન કરવાની ક્ષમતા પ્રદાન કરવામાં આવી હતી.
mod_ssl માં, SSL FIPS મોડ હવે OpenSSL 3.0 ને સપોર્ટ કરવા માટે બનાવવામાં આવ્યો છે, અને ab ઉપયોગિતા TLSv1.3 માટે સપોર્ટ પણ લાગુ કરે છે (આ પ્રોટોકોલને સપોર્ટ કરતી SSL લાઇબ્રેરી સાથે લિંક કરવાની જરૂર છે).
આ નવા સંસ્કરણમાં કરવામાં આવેલ બગ ફિક્સના ભાગ માટે:
- CVE-2022-31813: mod_proxy માં એક નબળાઈ જે મૂળ વિનંતિ ક્યાંથી આવી છે તે IP સરનામા વિશેની માહિતી સાથે X-Forwarded-* હેડરોને મોકલવામાં અવરોધિત કરવાની મંજૂરી આપે છે. સમસ્યાનો ઉપયોગ IP સરનામાં પર આધારિત ઍક્સેસ પ્રતિબંધોને બાયપાસ કરવા માટે થઈ શકે છે.
- CVE-2022-30556: mod_lua માં એક નબળાઈ કે જે ફાળવેલ બફર સ્ટોરેજના અંત સુધી નિર્દેશિત લુઆ સ્ક્રિપ્ટ્સમાં r:wsread() ફંક્શન સાથે મેનીપ્યુલેશન દ્વારા ફાળવેલ બફરની બહારના ડેટાને ઍક્સેસ કરવાની મંજૂરી આપે છે. આ બગને Apache HTTP સર્વર 2.4.53 અને પહેલાની આવૃત્તિઓમાં વાપરી શકાય છે.
- CVE-2022-30522mod_sed દ્વારા અમુક ડેટા પર પ્રક્રિયા કરતી વખતે સેવાનો ઇનકાર (અપૂરતી ઉપલબ્ધ મેમરી). જો અપાચે HTTP સર્વર 2.4.53 એ સંદર્ભોમાં mod_sed સાથે પરિવર્તન કરવા માટે ગોઠવેલ હોય જ્યાં mod_sed માં ઇનપુટ ખૂબ જ હોઈ શકે
મોટું, mod_sed વધુ પડતી મોટી મેમરી ફાળવણી કરી શકે છે અને એબોર્ટ ટ્રીગર કરી શકે છે. - CVE-2022-29404r:parsebody(0) કૉલનો ઉપયોગ કરીને લુઆ હેન્ડલર્સને ખાસ તૈયાર કરેલી વિનંતીઓ મોકલીને mod_lua સેવાના અસ્વીકારનો ઉપયોગ કરવામાં આવે છે.
- CVE-2022-28615, CVE-2022-28614: ap_strcmp_match() અને ap_rwrite() ફંક્શન્સમાં ભૂલોને કારણે પ્રક્રિયા મેમરીમાં સેવા અથવા ડેટા એક્સેસનો ઇનકાર, પરિણામે એક પ્રદેશ બફર બાઉન્ડ્રીની બહાર વાંચવામાં આવે છે.
- સીવીઇ -2022-28330: mod_isapi માં માહિતી લીક થઈ ગઈ છે (સમસ્યા ફક્ત Windows પ્લેટફોર્મ પર દેખાય છે).
- CVE-2022-26377: mod_proxy_ajp મોડ્યુલ ફ્રન્ટ-એન્ડ-બેકએન્ડ સિસ્ટમ્સ પર "HTTP વિનંતી દાણચોરી" વર્ગના હુમલાઓ માટે સંવેદનશીલ છે, જે અન્ય વપરાશકર્તાઓની વિનંતીઓની સામગ્રીને ફ્રન્ટ-એન્ડ અને બેક એન્ડ વચ્ચે સમાન થ્રેડ પર પ્રક્રિયા કરવાની મંજૂરી આપે છે.
ઉલ્લેખનીય છે કે આ વર્ઝન માટે અપાચે પોર્ટેબલ રનટાઇમ (એપીઆર), ન્યૂનતમ વર્ઝન 1.5.x અને એપીઆર-યુટીલ, ન્યૂનતમ વર્ઝન 1.5.x જરૂરી છે. કેટલીક સુવિધાઓને APR અને APR-Util ના સંસ્કરણ 1.6.xની જરૂર પડી શકે છે. APR પુસ્તકાલયોને બધા httpd કાર્યો યોગ્ય રીતે કામ કરવા માટે અપડેટ કરવા જોઈએ.
છેલ્લે જો તમને તેના વિશે વધુ જાણવામાં રસ છે Apache HTTP સર્વરના આ નવા સંસ્કરણ વિશે, તમે વિગતો ચકાસી શકો છો નીચેની કડીમાં