Apache HTTP ಸರ್ವರ್ 2.4.41 ಬಿಡುಗಡೆ (ಬಿಡುಗಡೆ 2.4.40 ಅನ್ನು ಬಿಟ್ಟುಬಿಡಲಾಗಿದೆ), ಇದು ಪರಿಚಯಿಸಿತು ಮತ್ತು ತೆಗೆದುಹಾಕಲಾಗಿದೆ :
- mod_http2 ನಲ್ಲಿನ ಸಮಸ್ಯೆಯಾಗಿದ್ದು ಅದು ಆರಂಭಿಕ ಹಂತದಲ್ಲಿ ಪುಶ್ ವಿನಂತಿಗಳನ್ನು ಕಳುಹಿಸುವಾಗ ಮೆಮೊರಿ ಭ್ರಷ್ಟಾಚಾರಕ್ಕೆ ಕಾರಣವಾಗಬಹುದು. "H2PushResource" ಸೆಟ್ಟಿಂಗ್ ಅನ್ನು ಬಳಸುವಾಗ, ವಿನಂತಿಯನ್ನು ಪ್ರಕ್ರಿಯೆಗೊಳಿಸುವ ಪೂಲ್ನಲ್ಲಿ ಮೆಮೊರಿಯನ್ನು ಓವರ್ರೈಟ್ ಮಾಡಲು ಸಾಧ್ಯವಿದೆ, ಆದರೆ ಸಮಸ್ಯೆಯು ಕ್ರ್ಯಾಶ್ಗೆ ಸೀಮಿತವಾಗಿದೆ ಏಕೆಂದರೆ ಬರೆಯಲಾದ ಡೇಟಾವು ಕ್ಲೈಂಟ್ನಿಂದ ಸ್ವೀಕರಿಸಿದ ಮಾಹಿತಿಯನ್ನು ಆಧರಿಸಿಲ್ಲ;
- - ಇತ್ತೀಚಿನ ಮಾನ್ಯತೆ HTTP/2 ಅನುಷ್ಠಾನಗಳಲ್ಲಿ DoS ದೋಷಗಳು.
ಆಕ್ರಮಣಕಾರರು ಪ್ರಕ್ರಿಯೆಗೆ ಲಭ್ಯವಿರುವ ಮೆಮೊರಿಯನ್ನು ಖಾಲಿ ಮಾಡಬಹುದು ಮತ್ತು ಸ್ಲೈಡಿಂಗ್ HTTP/2 ವಿಂಡೋವನ್ನು ಸರ್ವರ್ಗಾಗಿ ತೆರೆಯುವ ಮೂಲಕ ಹೆಚ್ಚಿನ CPU ಲೋಡ್ ಅನ್ನು ರಚಿಸಬಹುದು, ಆದರೆ TCP ವಿಂಡೋವನ್ನು ಮುಚ್ಚಲಾಗುತ್ತದೆ, ಇದು ಸಾಕೆಟ್ಗೆ ಡೇಟಾವನ್ನು ಬರೆಯುವುದನ್ನು ತಡೆಯುತ್ತದೆ; - - mod_rewrite ನಲ್ಲಿನ ಸಮಸ್ಯೆ, ಇತರ ಸಂಪನ್ಮೂಲಗಳಿಗೆ ವಿನಂತಿಗಳನ್ನು ಫಾರ್ವರ್ಡ್ ಮಾಡಲು ಸರ್ವರ್ ಅನ್ನು ಬಳಸಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ (ಓಪನ್ ಮರುನಿರ್ದೇಶನ). ಕೆಲವು mod_rewrite ಸೆಟ್ಟಿಂಗ್ಗಳು ಬಳಕೆದಾರರನ್ನು ಮತ್ತೊಂದು ಲಿಂಕ್ಗೆ ಫಾರ್ವರ್ಡ್ ಮಾಡಲು ಕಾರಣವಾಗಬಹುದು, ಅಸ್ತಿತ್ವದಲ್ಲಿರುವ ಮರುನಿರ್ದೇಶನದಲ್ಲಿ ಬಳಸಲಾದ ಪ್ಯಾರಾಮೀಟರ್ನಲ್ಲಿ ಹೊಸ ಸಾಲಿನ ಅಕ್ಷರವನ್ನು ಬಳಸಿಕೊಂಡು ಎನ್ಕೋಡ್ ಮಾಡಲಾಗಿದೆ. RegexDefaultOptions ನಲ್ಲಿ ಸಮಸ್ಯೆಯನ್ನು ನಿರ್ಬಂಧಿಸಲು, ನೀವು PCRE_DOTALL ಫ್ಲ್ಯಾಗ್ ಅನ್ನು ಬಳಸಬಹುದು, ಅದನ್ನು ಈಗ ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ ಹೊಂದಿಸಲಾಗಿದೆ;
- - mod_proxy ನಿಂದ ಪ್ರದರ್ಶಿಸಲಾದ ದೋಷ ಪುಟಗಳಲ್ಲಿ ಕ್ರಾಸ್-ಸೈಟ್ ಸ್ಕ್ರಿಪ್ಟಿಂಗ್ ಅನ್ನು ನಿರ್ವಹಿಸುವ ಸಾಮರ್ಥ್ಯ. ಈ ಪುಟಗಳಲ್ಲಿ, ವಿನಂತಿಯಿಂದ ಪಡೆದ URL ಅನ್ನು ಲಿಂಕ್ ಒಳಗೊಂಡಿದೆ, ಇದರಲ್ಲಿ ಆಕ್ರಮಣಕಾರರು ಅಕ್ಷರ ತಪ್ಪಿಸಿಕೊಳ್ಳುವ ಮೂಲಕ ಅನಿಯಂತ್ರಿತ HTML ಕೋಡ್ ಅನ್ನು ಸೇರಿಸಬಹುದು;
- — mod_remoteip ನಲ್ಲಿ ಸ್ಟಾಕ್ ಓವರ್ಫ್ಲೋ ಮತ್ತು NULL ಪಾಯಿಂಟರ್ ಡಿರೆಫರೆನ್ಸ್, ಪ್ರಾಕ್ಸಿ ಪ್ರೋಟೋಕಾಲ್ ಹೆಡರ್ ಕುಶಲತೆಯ ಮೂಲಕ ಬಳಸಿಕೊಳ್ಳಲಾಗುತ್ತದೆ. ದಾಳಿಯನ್ನು ಸೆಟ್ಟಿಂಗ್ಗಳಲ್ಲಿ ಬಳಸಲಾದ ಪ್ರಾಕ್ಸಿ ಸರ್ವರ್ನ ಬದಿಯಿಂದ ಮಾತ್ರ ನಡೆಸಬಹುದು ಮತ್ತು ಕ್ಲೈಂಟ್ ವಿನಂತಿಯ ಮೂಲಕ ಅಲ್ಲ;
- - mod_http2 ನಲ್ಲಿನ ದುರ್ಬಲತೆ, ಸಂಪರ್ಕ ಮುಕ್ತಾಯದ ಕ್ಷಣದಲ್ಲಿ, ಈಗಾಗಲೇ ಮುಕ್ತವಾಗಿರುವ ಮೆಮೊರಿ ಪ್ರದೇಶದಿಂದ (ಓದಿದ ನಂತರ-ಮುಕ್ತ) ವಿಷಯಗಳ ಓದುವಿಕೆಯನ್ನು ಪ್ರಾರಂಭಿಸಲು ಅನುಮತಿಸುತ್ತದೆ.
ಅತ್ಯಂತ ಗಮನಾರ್ಹವಾದ ಭದ್ರತೆಯಲ್ಲದ ಬದಲಾವಣೆಗಳೆಂದರೆ:
- mod_proxy_balancer ವಿಶ್ವಾಸಾರ್ಹ ಗೆಳೆಯರಿಂದ XSS/XSRF ದಾಳಿಗಳ ವಿರುದ್ಧ ಸುಧಾರಿತ ರಕ್ಷಣೆಯನ್ನು ಹೊಂದಿದೆ;
- ಸೆಷನ್/ಕುಕೀ ಮುಕ್ತಾಯ ಸಮಯವನ್ನು ನವೀಕರಿಸಲು ಮಧ್ಯಂತರವನ್ನು ನಿರ್ಧರಿಸಲು mod_session ಗೆ SessionExpiryUpdateInterval ಸೆಟ್ಟಿಂಗ್ ಅನ್ನು ಸೇರಿಸಲಾಗಿದೆ;
- ದೋಷಗಳಿರುವ ಪುಟಗಳನ್ನು ಸ್ವಚ್ಛಗೊಳಿಸಲಾಗಿದೆ, ಈ ಪುಟಗಳಲ್ಲಿನ ವಿನಂತಿಗಳಿಂದ ಮಾಹಿತಿಯ ಪ್ರದರ್ಶನವನ್ನು ತೆಗೆದುಹಾಕುವ ಗುರಿಯನ್ನು ಹೊಂದಿದೆ;
- mod_http2 "LimitRequestFieldSize" ನಿಯತಾಂಕದ ಮೌಲ್ಯವನ್ನು ಗಣನೆಗೆ ತೆಗೆದುಕೊಳ್ಳುತ್ತದೆ, ಇದು ಹಿಂದೆ HTTP/1.1 ಹೆಡರ್ ಕ್ಷೇತ್ರಗಳನ್ನು ಪರಿಶೀಲಿಸಲು ಮಾತ್ರ ಮಾನ್ಯವಾಗಿತ್ತು;
- BalancerMember ನಲ್ಲಿ ಬಳಸಿದಾಗ mod_proxy_hcheck ಕಾನ್ಫಿಗರೇಶನ್ ಅನ್ನು ರಚಿಸಲಾಗಿದೆ ಎಂದು ಖಚಿತಪಡಿಸುತ್ತದೆ;
- ದೊಡ್ಡ ಸಂಗ್ರಹಣೆಯಲ್ಲಿ PROPFIND ಆಜ್ಞೆಯನ್ನು ಬಳಸುವಾಗ mod_dav ನಲ್ಲಿ ಮೆಮೊರಿ ಬಳಕೆ ಕಡಿಮೆಯಾಗಿದೆ;
- mod_proxy ಮತ್ತು mod_ssl ನಲ್ಲಿ, ಪ್ರಾಕ್ಸಿ ಬ್ಲಾಕ್ನಲ್ಲಿ ಪ್ರಮಾಣಪತ್ರ ಮತ್ತು SSL ಸೆಟ್ಟಿಂಗ್ಗಳನ್ನು ನಿರ್ದಿಷ್ಟಪಡಿಸುವಲ್ಲಿ ಸಮಸ್ಯೆಗಳನ್ನು ಪರಿಹರಿಸಲಾಗಿದೆ;
- mod_proxy ಎಲ್ಲಾ ಪ್ರಾಕ್ಸಿ ಮಾಡ್ಯೂಲ್ಗಳಿಗೆ SSLProxyCheckPeer* ಸೆಟ್ಟಿಂಗ್ಗಳನ್ನು ಅನ್ವಯಿಸಲು ಅನುಮತಿಸುತ್ತದೆ;
- ಮಾಡ್ಯೂಲ್ ಸಾಮರ್ಥ್ಯಗಳನ್ನು ವಿಸ್ತರಿಸಲಾಗಿದೆ , ACME (ಸ್ವಯಂಚಾಲಿತ ಪ್ರಮಾಣಪತ್ರ ನಿರ್ವಹಣೆ ಪರಿಸರ) ಪ್ರೋಟೋಕಾಲ್ ಅನ್ನು ಬಳಸಿಕೊಂಡು ಪ್ರಮಾಣಪತ್ರಗಳ ಸ್ವೀಕೃತಿ ಮತ್ತು ನಿರ್ವಹಣೆಯನ್ನು ಸ್ವಯಂಚಾಲಿತಗೊಳಿಸಲು ಯೋಜನೆಯನ್ನು ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡೋಣ:
- ಪ್ರೋಟೋಕಾಲ್ನ ಎರಡನೇ ಆವೃತ್ತಿಯನ್ನು ಸೇರಿಸಲಾಗಿದೆ , ಇದು ಈಗ ಡೀಫಾಲ್ಟ್ ಆಗಿದೆ ಮತ್ತು GET ಬದಲಿಗೆ ಖಾಲಿ POST ವಿನಂತಿಗಳು.
- HTTP/01 ನಲ್ಲಿ ಬಳಸಲಾಗುವ TLS-ALPN-7301 ವಿಸ್ತರಣೆ (RFC 2, ಅಪ್ಲಿಕೇಶನ್-ಲೇಯರ್ ಪ್ರೋಟೋಕಾಲ್ ನೆಗೋಷಿಯೇಷನ್) ಆಧಾರದ ಮೇಲೆ ಪರಿಶೀಲನೆಗೆ ಬೆಂಬಲವನ್ನು ಸೇರಿಸಲಾಗಿದೆ.
- 'tls-sni-01' ಪರಿಶೀಲನಾ ವಿಧಾನಕ್ಕೆ ಬೆಂಬಲವನ್ನು ನಿಲ್ಲಿಸಲಾಗಿದೆ (ಕಾರಣದಿಂದ ).
- 'dns-01' ವಿಧಾನವನ್ನು ಬಳಸಿಕೊಂಡು ಚೆಕ್ ಅನ್ನು ಹೊಂದಿಸಲು ಮತ್ತು ಮುರಿಯಲು ಆಜ್ಞೆಗಳನ್ನು ಸೇರಿಸಲಾಗಿದೆ.
- ಬೆಂಬಲವನ್ನು ಸೇರಿಸಲಾಗಿದೆ ಪ್ರಮಾಣಪತ್ರಗಳಲ್ಲಿ DNS ಆಧಾರಿತ ಪರಿಶೀಲನೆಯನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಿದಾಗ ('dns-01').
- 'md-status' ಹ್ಯಾಂಡ್ಲರ್ ಮತ್ತು ಪ್ರಮಾಣಪತ್ರ ಸ್ಥಿತಿ ಪುಟ 'https://domain/.httpd/certificate-status' ಅನ್ನು ಅಳವಡಿಸಲಾಗಿದೆ.
- ಸ್ಥಿರ ಫೈಲ್ಗಳ ಮೂಲಕ (ಸ್ವಯಂ-ನವೀಕರಣ ಬೆಂಬಲವಿಲ್ಲದೆ) ಡೊಮೇನ್ ನಿಯತಾಂಕಗಳನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಲು "MDCertificateFile" ಮತ್ತು "MDCertificateKeyFile" ನಿರ್ದೇಶನಗಳನ್ನು ಸೇರಿಸಲಾಗಿದೆ.
- 'ನವೀಕರಿಸಿದ', 'ಅವಧಿ ಮುಗಿಯುವ' ಅಥವಾ 'ದೋಷವಾದ' ಘಟನೆಗಳು ಸಂಭವಿಸಿದಾಗ ಬಾಹ್ಯ ಆಜ್ಞೆಗಳನ್ನು ಕರೆಯಲು "MDMessageCmd" ನಿರ್ದೇಶನವನ್ನು ಸೇರಿಸಲಾಗಿದೆ.
- ಪ್ರಮಾಣಪತ್ರದ ಮುಕ್ತಾಯದ ಬಗ್ಗೆ ಎಚ್ಚರಿಕೆ ಸಂದೇಶವನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಲು "MDWarnWindow" ನಿರ್ದೇಶನವನ್ನು ಸೇರಿಸಲಾಗಿದೆ;
ಮೂಲ: opennet.ru