Apache 2.4.54 HTTP সার্ভার রিলিজ দুর্বলতার সাথে সংশোধন করা হয়েছে

Apache HTTP সার্ভার 2.4.53 প্রকাশ করা হয়েছে, 19টি পরিবর্তন প্রবর্তন করে এবং 8টি দুর্বলতা দূর করে:

• CVE-2022-31813 হল mod_proxy-এর একটি দুর্বলতা যা আপনাকে X-Forwarded-* শিরোনাম পাঠানো ব্লক করতে দেয় যে আইপি ঠিকানা থেকে আসল অনুরোধটি এসেছে সে সম্পর্কে তথ্য। সমস্যাটি আইপি ঠিকানার উপর ভিত্তি করে অ্যাক্সেস সীমাবদ্ধতা বাইপাস করতে ব্যবহার করা যেতে পারে।
• CVE-2022-30556 হল mod_lua-এর একটি দুর্বলতা যা লুয়া স্ক্রিপ্টে r:wsread() ফাংশনের ম্যানিপুলেশনের মাধ্যমে বরাদ্দকৃত বাফারের বাইরে ডেটা অ্যাক্সেস করতে দেয়।
• CVE-2022-30522 – mod_sed মডিউল দ্বারা নির্দিষ্ট ডেটা প্রক্রিয়া করার সময় পরিষেবা অস্বীকার করা (উপলভ্য মেমরি ক্লান্তি)।
• CVE-2022-29404 হল mod_lua-এ পরিষেবার অস্বীকৃতি যা r:parsebody(0) কল ব্যবহার করে লুয়া হ্যান্ডলারদের কাছে বিশেষভাবে তৈরি করা অনুরোধ পাঠিয়ে শোষণ করা হয়।
• CVE-2022-28615, CVE-2022-28614 – ap_strcmp_match() এবং ap_rwrite() ফাংশনে ত্রুটির কারণে পরিষেবার অস্বীকৃতি বা প্রসেস মেমরিতে ডেটা অ্যাক্সেস করা, যার ফলে বাফার সীমানার বাইরের একটি এলাকা থেকে পড়া হয়েছে।
• CVE-2022-28330 - mod_isapi-তে সীমার বাইরের বাফার এলাকা থেকে তথ্য ফাঁস (সমস্যাটি শুধুমাত্র উইন্ডোজ প্ল্যাটফর্মে ঘটে)।
• CVE-2022-26377 – mod_proxy_ajp মডিউলটি ফ্রন্টএন্ড-ব্যাকএন্ড সিস্টেমে HTTP অনুরোধ স্মাগলিং আক্রমণের জন্য সংবেদনশীল, যা এটিকে ফ্রন্টএন্ড এবং ব্যাকএন্ডের মধ্যে একই থ্রেডে প্রক্রিয়া করা অন্যান্য ব্যবহারকারীর অনুরোধের বিষয়বস্তুতে নিজেকে পাচার করতে দেয়।

সবচেয়ে উল্লেখযোগ্য অ-নিরাপত্তা পরিবর্তন:

• mod_ssl SSL FIPS মোডকে OpenSSL 3.0 এর সাথে সামঞ্জস্যপূর্ণ করে তোলে।
• ab ইউটিলিটি TLSv1.3 সমর্থন করে (এই প্রোটোকল সমর্থন করে এমন একটি SSL লাইব্রেরির সাথে লিঙ্ক করা প্রয়োজন)।
• mod_md-এ, MDCertificateAuthority নির্দেশিকা একাধিক CA নাম এবং URL এর অনুমতি দেয়। নতুন নির্দেশনা যোগ করা হয়েছে: MDRetryDelay (পুনরায় চেষ্টার অনুরোধ পাঠানোর আগে বিলম্ব সংজ্ঞায়িত করে) এবং MDRetryFailover (একটি বিকল্প সার্টিফিকেশন অথরিটি বেছে নেওয়ার আগে ব্যর্থতার ক্ষেত্রে পুনরায় চেষ্টার সংখ্যা নির্ধারণ করে)। "কী: মান" বিন্যাসে মান আউটপুট করার সময় "স্বয়ংক্রিয়" অবস্থার জন্য সমর্থন যোগ করা হয়েছে। Tailscale সুরক্ষিত VPN নেটওয়ার্কের ব্যবহারকারীদের জন্য সার্টিফিকেট পরিচালনা করার ক্ষমতা প্রদান করেছে।
• mod_http2 মডিউলটি অব্যবহৃত এবং অনিরাপদ কোড থেকে পরিষ্কার করা হয়েছে।
• mod_proxy নিশ্চিত করে যে ব্যাকএন্ড নেটওয়ার্ক পোর্ট লগে লেখা ত্রুটি বার্তাগুলিতে প্রতিফলিত হয়।
• mod_heartmonitor-এ, HeartbeatMaxServers প্যারামিটারের মান 0 থেকে 10 পরিবর্তন করা হয়েছে (10 ভাগ করা মেমরি স্লট শুরু করা হচ্ছে)।

উত্স: opennet.ru