🥇 দুর্বলতা সমাধান সহ Apache HTTP সার্ভার 2.4.41 প্রকাশ

প্রকাশিত Apache HTTP সার্ভার 2.4.41 রিলিজ (রিলিজ 2.4.40 বাদ দেওয়া হয়েছিল), যা চালু করা হয়েছিল 23 পরিবর্তন এবং নির্মূল 6 দুর্বলতা:

জন্য CVE-2019-10081 mod_http2 এ একটি সমস্যা যা খুব প্রাথমিক পর্যায়ে পুশ অনুরোধ পাঠানোর সময় মেমরি দুর্নীতির দিকে পরিচালিত করতে পারে। "H2PushResource" সেটিং ব্যবহার করার সময়, অনুরোধ প্রক্রিয়াকরণ পুলে মেমরি ওভাররাইট করা সম্ভব, কিন্তু সমস্যাটি ক্র্যাশের মধ্যে সীমাবদ্ধ কারণ ডেটা লেখা হচ্ছে ক্লায়েন্ট থেকে প্রাপ্ত তথ্যের উপর ভিত্তি করে নয়;
জন্য CVE-2019-9517 - সাম্প্রতিক এক্সপোজার ঘোষণা HTTP/2 বাস্তবায়নে DoS দুর্বলতা।
একটি আক্রমণকারী একটি প্রক্রিয়ার জন্য উপলব্ধ মেমরি নিঃশেষ করতে পারে এবং সার্ভারের জন্য একটি স্লাইডিং HTTP/2 উইন্ডো খোলার মাধ্যমে একটি ভারী CPU লোড তৈরি করতে পারে যাতে কোনো বিধিনিষেধ ছাড়াই ডেটা পাঠানো যায়, কিন্তু TCP উইন্ডোটি বন্ধ রাখা হয়, ডেটা আসলে সকেটে লেখা হতে বাধা দেয়;
জন্য CVE-2019-10098 - mod_rewrite-এ একটি সমস্যা, যা আপনাকে অন্যান্য সংস্থানগুলিতে অনুরোধগুলি ফরোয়ার্ড করার জন্য সার্ভার ব্যবহার করতে দেয় (ওপেন রিডাইরেক্ট)। কিছু mod_rewrite সেটিংসের ফলে ব্যবহারকারীকে অন্য লিঙ্কে ফরোয়ার্ড করা হতে পারে, একটি বিদ্যমান পুনঃনির্দেশে ব্যবহৃত একটি প্যারামিটারের মধ্যে একটি নতুন লাইন অক্ষর ব্যবহার করে এনকোড করা হয়। RegexDefaultOptions এ সমস্যাটি ব্লক করতে, আপনি PCRE_DOTALL পতাকা ব্যবহার করতে পারেন, যা এখন ডিফল্টরূপে সেট করা আছে;
জন্য CVE-2019-10092 - mod_proxy দ্বারা প্রদর্শিত ত্রুটি পৃষ্ঠাগুলিতে ক্রস-সাইট স্ক্রিপ্টিং সম্পাদন করার ক্ষমতা। এই পৃষ্ঠাগুলিতে, লিঙ্কটিতে অনুরোধ থেকে প্রাপ্ত URL রয়েছে, যেখানে একজন আক্রমণকারী অক্ষর পালানোর মাধ্যমে নির্বিচারে HTML কোড সন্নিবেশ করতে পারে;
জন্য CVE-2019-10097 — mod_remoteip-এ স্ট্যাক ওভারফ্লো এবং NULL পয়েন্টার ডিরেফারেন্স, PROXY প্রোটোকল হেডারের ম্যানিপুলেশনের মাধ্যমে শোষিত। আক্রমণটি শুধুমাত্র সেটিংসে ব্যবহৃত প্রক্সি সার্ভারের পাশ থেকে করা যেতে পারে, ক্লায়েন্টের অনুরোধের মাধ্যমে নয়;
জন্য CVE-2019-10082 - mod_http2-এ একটি দুর্বলতা যা সংযোগ বন্ধ করার মুহুর্তে, ইতিমধ্যেই মুক্ত করা মেমরি এলাকা থেকে বিষয়বস্তু পড়া শুরু করতে দেয় (পড়ুন-পর-মুক্ত)।

সবচেয়ে উল্লেখযোগ্য অ-নিরাপত্তা পরিবর্তন:

mod_proxy_balancer বিশ্বস্ত সহকর্মীদের থেকে XSS/XSRF আক্রমণের বিরুদ্ধে সুরক্ষা উন্নত করেছে;
সেশন/কুকির মেয়াদ শেষ হওয়ার সময় আপডেট করার জন্য ব্যবধান নির্ধারণ করতে mod_session-এ একটি SessionExpiryUpdateInterval সেটিং যোগ করা হয়েছে;
ত্রুটিযুক্ত পৃষ্ঠাগুলি পরিষ্কার করা হয়েছিল, এই পৃষ্ঠাগুলিতে অনুরোধগুলি থেকে তথ্য প্রদর্শনকে বাদ দেওয়ার লক্ষ্যে;
mod_http2 “LimitRequestFieldSize” প্যারামিটারের মান বিবেচনা করে, যা আগে শুধুমাত্র HTTP/1.1 হেডার ক্ষেত্র চেক করার জন্য বৈধ ছিল;
নিশ্চিত করে যে mod_proxy_hcheck কনফিগারেশন তৈরি করা হয়েছে যখন BalancerMember ব্যবহার করা হয়;
একটি বৃহৎ সংগ্রহে PROPFIND কমান্ড ব্যবহার করার সময় mod_dav-এ মেমরি খরচ হ্রাস করা হয়;
mod_proxy এবং mod_ssl-এ, প্রক্সি ব্লকের মধ্যে সার্টিফিকেট এবং SSL সেটিংস নির্দিষ্ট করার সমস্যা সমাধান করা হয়েছে;
mod_proxy SSLProxyCheckPeer* সেটিংস সমস্ত প্রক্সি মডিউলে প্রয়োগ করার অনুমতি দেয়;
মডিউল ক্ষমতা প্রসারিত mod_md, উন্নত আসুন ACME (অটোমেটিক সার্টিফিকেট ম্যানেজমেন্ট এনভায়রনমেন্ট) প্রোটোকল ব্যবহার করে শংসাপত্রের রসিদ এবং রক্ষণাবেক্ষণ স্বয়ংক্রিয় করতে প্রকল্প এনক্রিপ্ট করি:
- প্রোটোকলের দ্বিতীয় সংস্করণ যোগ করা হয়েছে ACMEv2 সম্পর্কে, যা এখন ডিফল্ট এবং ব্যবহারসমূহ GET এর পরিবর্তে খালি POST অনুরোধ।
- TLS-ALPN-01 এক্সটেনশন (RFC 7301, অ্যাপ্লিকেশন-লেয়ার প্রোটোকল নেগোসিয়েশন) এর উপর ভিত্তি করে যাচাইকরণের জন্য সমর্থন যোগ করা হয়েছে, যা HTTP/2 এ ব্যবহৃত হয়।
- 'tls-sni-01' যাচাইকরণ পদ্ধতির জন্য সমর্থন বন্ধ করা হয়েছে (কারণ দুর্বলতা).
- 'dns-01' পদ্ধতি ব্যবহার করে চেক সেট আপ এবং ভাঙার জন্য কমান্ড যোগ করা হয়েছে।
- সমর্থন যোগ করা হয়েছে মুখোশ শংসাপত্রগুলিতে যখন DNS-ভিত্তিক যাচাইকরণ সক্রিয় থাকে ('dns-01')।
- বাস্তবায়িত 'md-status' হ্যান্ডলার এবং সার্টিফিকেট স্ট্যাটাস পৃষ্ঠা 'https://domain/.httpd/certificate-status'।
- স্ট্যাটিক ফাইলের মাধ্যমে ডোমেন প্যারামিটার কনফিগার করার জন্য "MDCertificateFile" এবং "MDCertificateKeyFile" নির্দেশিকা যোগ করা হয়েছে (স্বয়ংক্রিয়-আপডেট সমর্থন ছাড়া)।
- 'রিনিউ', 'মেয়াদ শেষ' বা 'ত্রুটিযুক্ত' ঘটনা ঘটলে বহিরাগত কমান্ড কল করার জন্য "MDMessageCmd" নির্দেশিকা যোগ করা হয়েছে।
- শংসাপত্রের মেয়াদ শেষ হওয়ার বিষয়ে একটি সতর্কতা বার্তা কনফিগার করতে "MDWarnWindow" নির্দেশিকা যোগ করা হয়েছে;