अपाचे सॉफ्टवेअर फाउंडेशन आणि अपाचे एचटीटीपी सर्व्हर प्रोजेक्टने अलीकडेच ची नवीन आवृत्ती रिलीज करण्याची घोषणा केली Apache HTTP सर्व्हर 2.4.54, Apache ची ही आवृत्ती नवीनतम GA आवृत्ती आहे Apache HTTPD नेक्स्ट-जनरेशन 2.4.x शाखा आणि प्रकल्पाद्वारे पंधरा वर्षांच्या नावीन्यपूर्णतेचे प्रतिनिधित्व करते आणि मागील सर्व आवृत्त्यांपेक्षा शिफारस केली जाते. Apache चे हे प्रकाशन सुरक्षा, वैशिष्ट्य आणि बग निराकरण प्रकाशन आहे.
नवीन आवृत्ती जी एसe प्रस्तुत 19 बदलांची ओळख करून देते आणि 8 भेद्यता निश्चित करते, ज्यापैकी काहींनी डेटामध्ये प्रवेश करण्याची परवानगी दिली, इतर गोष्टींबरोबरच सेवा नाकारणे देखील होऊ शकते.
Apache HTTP सर्व्हर 2.4.54 ची मुख्य नवीन वैशिष्ट्ये
या नवीन आवृत्तीमध्ये जे Apache HTTP सर्व्हर 2.4.54 सादर केले आहे mod_md मध्ये, MDCertificateAuthority निर्देश एकापेक्षा जास्त CA नाव आणि URL ला परवानगी देतो, त्याच्या बाजूला नवीन निर्देश जोडले: MDRetryDelay (पुन्हा प्रयत्न करण्याची विनंती पाठवण्यापूर्वी विलंब परिभाषित करते) आणि MDRetryFailover (पर्यायी CA निवडण्यापूर्वी अयशस्वी होण्याच्या प्रयत्नांची संख्या परिभाषित करते).
दुसरा बदल जो वेगळा आहे तो म्हणजे मॉड्यूलमध्ये mod_http2 न वापरलेले आणि असुरक्षित कोड साफ केले आहे, mod_proxy मध्ये बॅकएंड नेटवर्क पोर्टचे प्रतिबिंब आता लॉगवर लिहिलेल्या त्रुटी संदेशांमध्ये प्रदान केले आहे आणि mod_heartmonitor मध्ये HeartbeatMaxServers पॅरामीटरचे मूल्य 0 ते 10 (शेअर केलेल्या 10 मेमरी स्लॉटचे आरंभिकरण) वरून बदलले आहे.
दुसरीकडे, आम्ही ते शोधू शकतो "की: मूल्य" स्वरूपात मूल्ये प्रदर्शित करताना "स्वयं" स्थितीसाठी समर्थन जोडले, तसेच Tailscale Secure VPN वापरकर्त्यांसाठी प्रमाणपत्रे व्यवस्थापित करण्याची क्षमता प्रदान केली गेली.
mod_ssl मध्ये, SSL FIPS मोड आता OpenSSL 3.0 चे समर्थन करण्यासाठी बनवले आहे, आणि ab युटिलिटी TLSv1.3 साठी समर्थन देखील लागू करते (या प्रोटोकॉलला समर्थन देणार्या SSL लायब्ररीशी लिंक करणे आवश्यक आहे).
या नवीन आवृत्तीमध्ये केलेल्या दोष निराकरणाच्या भागासाठी:
- सीव्हीई- 2022-31813: mod_proxy मधील एक भेद्यता जी मूळ विनंती जिथून आली होती त्या IP पत्त्याबद्दल माहितीसह X-Forwarded-* शीर्षलेख पाठवण्यास अवरोधित करण्यास अनुमती देते. IP पत्त्यांच्या आधारे प्रवेश प्रतिबंध बायपास करण्यासाठी समस्या वापरली जाऊ शकते.
- सीव्हीई- 2022-30556: mod_lua मधील एक भेद्यता जी वाटप केलेल्या बफरच्या बाहेरील डेटामध्ये r:wsread() फंक्शन वापरून लुआ स्क्रिप्टमध्ये प्रवेश करण्यास अनुमती देते जी वाटप केलेल्या बफर स्टोरेजच्या शेवटी दर्शवते. हा बग Apache HTTP सर्व्हर 2.4.53 आणि पूर्वीच्या आवृत्त्यांमध्ये वापरला जाऊ शकतो.
- सीव्हीई- 2022-30522: mod_sed द्वारे विशिष्ट डेटावर प्रक्रिया करताना सेवा नाकारणे (अपुरी उपलब्ध मेमरी). Apache HTTP सर्व्हर 2.4.53 हे mod_sed सह परिवर्तन करण्यासाठी कॉन्फिगर केले असल्यास संदर्भांमध्ये जेथे mod_sed ला इनपुट खूप असू शकते
मोठे, mod_sed जास्त प्रमाणात मेमरी वाटप करू शकते आणि गर्भपात ट्रिगर करू शकते. - सीव्हीई- 2022-29404r:parsebody(0) कॉल वापरून लुआ हँडलर्सना खास तयार केलेल्या विनंत्या पाठवून सेवेच्या mod_lua नकाराचा गैरफायदा घेतला जातो.
- CVE-2022-28615, CVE-2022-28614: ap_strcmp_match() आणि ap_rwrite() फंक्शन्समधील त्रुटींमुळे सेवा किंवा डेटा ऍक्सेस प्रक्रिया मेमरीमध्ये नाकारणे, परिणामी क्षेत्र बफर सीमेच्या बाहेर वाचले जाते.
- सीव्हीई -2022-28330: mod_isapi (समस्या फक्त Windows प्लॅटफॉर्मवर दिसते).
- सीव्हीई- 2022-26377: mod_proxy_ajp मॉड्यूल फ्रंट-एंड-बॅकएंड सिस्टीमवर "HTTP विनंती तस्कर" वर्ग हल्ल्यांसाठी असुरक्षित आहे, ज्यामुळे इतर वापरकर्त्यांच्या विनंतीच्या सामग्रीवर फ्रंट-एंड आणि बॅक एंड दरम्यान समान थ्रेडवर प्रक्रिया केली जाऊ शकते.
हे नमूद करण्यासारखे आहे की या आवृत्तीसाठी Apache Portable Runtime (APR), किमान आवृत्ती 1.5.x आणि APR-Util, किमान आवृत्ती 1.5.x आवश्यक आहे. काही वैशिष्ट्यांसाठी APR आणि APR-Util ची आवृत्ती 1.6.x आवश्यक असू शकते. सर्व httpd फंक्शन्स योग्यरित्या कार्य करण्यासाठी APR लायब्ररी अद्ययावत करणे आवश्यक आहे.
शेवटी आपल्याला त्याबद्दल अधिक जाणून घेण्यात स्वारस्य असल्यास Apache HTTP सर्व्हरच्या या नवीन आवृत्तीबद्दल, तुम्ही तपशील तपासू शकता पुढील लिंकवर