Lighttpd 1.4.76 અને Apache httpd 2.4.59 HTTP સર્વર્સનું પ્રકાશન

લાઇટવેઇટ HTTP સર્વર lighttpd 1.4.76 નું પ્રકાશન પ્રકાશિત કરવામાં આવ્યું છે, જે ઉચ્ચ પ્રદર્શન, સુરક્ષા, ધોરણોનું પાલન અને રૂપરેખાંકન સુગમતાના સંયોજન પર કેન્દ્રિત છે. લાઇટટીપીડી અત્યંત લોડ થયેલ સિસ્ટમો પર ઉપયોગ માટે યોગ્ય છે અને તેનો હેતુ ઓછી મેમરી અને CPU વપરાશ છે. પ્રોજેક્ટ કોડ C માં લખાયેલ છે અને BSD લાયસન્સ હેઠળ વિતરિત કરવામાં આવે છે.

નવા સંસ્કરણમાં:

• END_HEADERS ફ્લેગ સેટ કર્યા વિના HTTP/2 સર્વર પર CONTINUATION ફ્રેમ્સની સતત સ્ટ્રીમ મોકલીને કરવામાં આવેલા "કંટીન્યુએશન ફ્લડ" હુમલાની તપાસ પૂરી પાડવામાં આવે છે. એવું જણાવવામાં આવ્યું છે કે આ હુમલો lighttpd ને સેવાના ઇનકારમાં પરિણમતું નથી, પરંતુ વધારાના માપ તરીકે તેને શોધવા અને GO_AWAY પ્રતિસાદ મોકલવા માટે ઉમેરવામાં આવે છે.
• xz પેકેજમાં બેકડોર દાખલ કરવાની ઘટનાને ધ્યાનમાં લેવામાં આવી છે. નિર્ભરતાઓને એસેમ્બલ કરવા માટે રીલીઝ બનાવતી વખતે, કોડ હવે રીલીઝ ટેગ્સનો ઉપયોગ કરીને અને કોડ સાથે તૈયાર આર્કાઇવ્સ ડાઉનલોડ કર્યા વિના ચકાસણી સાથે "ગીટ આર્કાઇવ" આદેશનો ઉપયોગ કરીને ગિટમાંથી પુનઃપ્રાપ્ત કરવામાં આવે છે.
• મૂળભૂત રીતે, બિલ્ટ-ઇન mimetype.assign ફાઇલ પ્રદાન કરવામાં આવે છે.
• MPTCP (MultiPath TCP) એક્સ્ટેંશન માટે ઉમેરાયેલ સમર્થન, જે મૂળભૂત રીતે સક્ષમ નથી.
• GNU/Hurd અને NetBSD 10 પ્લેટફોર્મ માટે સુધારેલ સપોર્ટ.
• બેકએન્ડ સાથે કનેક્ટ કરતી વખતે કરવામાં આવેલ સિસ્ટમ કૉલ્સની સંખ્યા ઘટાડવામાં આવી છે.
• ભવિષ્યના પ્રકાશનોમાં, TLSv1.3 ને TLS પ્રોટોકોલના ડિફોલ્ટ ન્યૂનતમ સમર્થિત સંસ્કરણ તરીકે સેટ કરવાની યોજના છે (હાલમાં MinProtocol પરિમાણ TLSv1.2 પર સેટ છે). ભવિષ્યમાં, server.error-handler-404 હેન્ડલર માત્ર 404 ભૂલોને હેન્ડલ કરવા સુધી મર્યાદિત રહેશે (હાલમાં તે 404 અને 403 બંનેને હેન્ડલ કરે છે).

તમે Apache HTTP સર્વર 2.4.59 ના પ્રકાશનને પણ નોંધી શકો છો, જેણે 21 ફેરફારો રજૂ કર્યા છે અને ત્રણ નબળાઈઓને સુધારી છે:

• CVE-2024-27316 એ એક નબળાઈ છે જે "કંટીન્યુએશન ફ્લડ" હુમલા દરમિયાન ફ્રી મેમરીના થાક તરફ દોરી જાય છે.
• CVE-2024-24795, CVE-2023-38709 - ફ્રન્ટ-એન્ડ-બેકએન્ડ સિસ્ટમ્સ પર HTTP પ્રતિસાદ વિભાજિત હુમલો કરવાની શક્યતા, વધારાના પ્રતિસાદ હેડરોની અવેજીમાં અથવા પ્રતિસાદોના સમાવિષ્ટોને ફાચર કરવા માટે પ્રતિસાદોના વિભાજન માટે પરવાનગી આપે છે. ફ્રન્ટ એન્ડ અને બેકએન્ડ વચ્ચે સમાન થ્રેડમાં પ્રક્રિયા કરાયેલ અન્ય વપરાશકર્તાઓ માટે.
• સ્ક્રિપ્ટ એક્ઝેક્યુશન સમયસમાપ્તિ સેટ કરવા માટે mod_cgi મોડ્યુલમાં CGIScriptTimeout પરિમાણ ઉમેરવામાં આવ્યું છે.
• mod_xml2enc libxml2 2.12.0 અને પછીના પ્રકાશનો સાથે સુસંગતતા પૂરી પાડે છે.
• mod_ssl માં, પ્રમાણભૂત OpenSSL ફંક્શનનો ઉપયોગ SSLCACertificatePath અને SSLCADNRequestPath ડાયરેક્ટિવ્સની પ્રક્રિયા કરતી વખતે પ્રમાણપત્ર સત્તાવાળાઓના નામોની યાદીઓ એસેમ્બલ કરવા માટે થાય છે.
• mod_xml2enc કોઈપણ ટેક્સ્ટ/* અને XML MIME પ્રકારો માટે XML પ્રોસેસિંગ પૂરી પાડે છે જેથી Microsoft OOXML ફોર્મેટમાં ડેટા કરપ્શન અટકાવી શકાય.
• htcacheclean યુટિલિટીમાં, -a/-A વિકલ્પોનો ઉલ્લેખ કરતી વખતે, દરેક સબડિરેક્ટરી માટે બધી ફાઇલોની ગણતરી કરવી શક્ય છે.
• mod_ssl માં, SSLProxyMachineCertificateFile/Path નિર્દેશો સર્ટિફિકેશન ઓથોરિટી પ્રમાણપત્રો ધરાવતી ફાઈલોના સંદર્ભની મંજૂરી આપે છે.
• htpasswd, htdbm અને dbmmanage ઉપયોગિતાઓ માટેના દસ્તાવેજો સ્પષ્ટ કરે છે કે તેઓ હેશિંગનો ઉપયોગ કરે છે, પાસવર્ડ એન્ક્રિપ્શનનો નહીં.
• htpasswd એ SHA-2 અલ્ગોરિધમનો ઉપયોગ કરીને પાસવર્ડ હેશની પ્રક્રિયા કરવા માટે આધાર ઉમેર્યો છે.
• Mod_env સિસ્ટમ પર્યાવરણ ચલોને ઓવરરાઇડ કરવાની મંજૂરી આપે છે.
• mod_ldap ldap-status હેડરમાં HTML એસ્કેપિંગનો અમલ કરે છે.
• mod_ssl OpenSSL 3 સાથે સુસંગતતા સુધારે છે અને ખાતરી કરે છે કે મુક્ત મેમરી સિસ્ટમમાં પાછી આવે છે.
• mod_proxy DNS પ્રતિસાદ કેશમાં એન્ટ્રીના જીવનકાળને ગોઠવવા માટે TTL સેટ કરવાની મંજૂરી આપે છે.
• mod_proxy માં, ProxyRemote પરિમાણમાં ત્રીજી દલીલ માટે સમર્થન ઉમેરવામાં આવ્યું છે, જેના દ્વારા તમે બાહ્ય પ્રોક્સીમાં પ્રસારિત મૂળભૂત પ્રમાણીકરણ માટે ઓળખપત્રોને ગોઠવી શકો છો.

સોર્સ: opennet.ru