اپاچی HTTP سرور 2.4.41 کی ریلیز (ریلیز 2.4.40 کو چھوڑ دیا گیا تھا)، جس نے متعارف کرایا اور ختم کر دیا :
- mod_http2 میں ایک مسئلہ ہے جو بہت ابتدائی مرحلے میں پش درخواستیں بھیجتے وقت میموری کی خرابی کا باعث بن سکتا ہے۔ "H2PushResource" ترتیب استعمال کرتے وقت، درخواست پراسیسنگ پول میں میموری کو اوور رائٹ کرنا ممکن ہے، لیکن مسئلہ صرف کریش تک ہی محدود ہے کیونکہ جو ڈیٹا لکھا جا رہا ہے وہ کلائنٹ سے موصول ہونے والی معلومات پر مبنی نہیں ہے۔
- - حالیہ نمائش HTTP/2 کے نفاذ میں DoS کی کمزوریاں۔
حملہ آور کسی عمل کے لیے دستیاب میموری کو ختم کر سکتا ہے اور سرور کے لیے بغیر کسی پابندی کے ڈیٹا بھیجنے کے لیے سلائیڈنگ HTTP/2 ونڈو کھول کر بھاری CPU بوجھ بنا سکتا ہے، لیکن TCP ونڈو کو بند رکھتے ہوئے، ڈیٹا کو حقیقت میں ساکٹ میں لکھے جانے سے روکتا ہے۔ - - mod_rewrite میں ایک مسئلہ، جو آپ کو درخواستوں کو دوسرے وسائل پر بھیجنے کے لیے سرور کا استعمال کرنے کی اجازت دیتا ہے (اوپن ری ڈائریکٹ)۔ کچھ mod_rewrite ترتیبات کے نتیجے میں صارف کو دوسرے لنک پر بھیج دیا جا سکتا ہے، جو کہ موجودہ ری ڈائریکٹ میں استعمال ہونے والے پیرامیٹر کے اندر ایک نئی لائن کریکٹر کا استعمال کرتے ہوئے انکوڈ کیا جاتا ہے۔ RegexDefaultOptions میں مسئلہ کو روکنے کے لیے، آپ PCRE_DOTALL جھنڈا استعمال کر سکتے ہیں، جو اب پہلے سے طے شدہ ہے۔
- - mod_proxy کے ذریعہ دکھائے گئے غلطی والے صفحات پر کراس سائٹ اسکرپٹنگ انجام دینے کی صلاحیت۔ ان صفحات پر، لنک درخواست سے حاصل کردہ یو آر ایل پر مشتمل ہے، جس میں حملہ آور کریکٹر ایسکیپنگ کے ذریعے صوابدیدی HTML کوڈ داخل کر سکتا ہے۔
- mod_remoteip میں اسٹیک اوور فلو اور NULL پوائنٹر ڈیریفرنس، PROXY پروٹوکول ہیڈر کی ہیرا پھیری کے ذریعے فائدہ اٹھایا گیا۔ حملہ صرف سیٹنگز میں استعمال ہونے والے پراکسی سرور کی طرف سے کیا جا سکتا ہے، نہ کہ کلائنٹ کی درخواست کے ذریعے۔
- - mod_http2 میں ایک کمزوری جو کنکشن ختم ہونے کے وقت، پہلے سے آزاد میموری والے علاقے (پڑھنے کے بعد مفت) سے مواد کو پڑھنا شروع کرنے کی اجازت دیتی ہے۔
سب سے زیادہ قابل ذکر غیر سیکورٹی تبدیلیاں ہیں:
- mod_proxy_balancer نے قابل اعتماد ساتھیوں کے XSS/XSRF حملوں کے خلاف تحفظ کو بہتر بنایا ہے۔
- ایک SessionExpiryUpdateInterval سیٹنگ mod_session میں شامل کر دی گئی ہے تاکہ سیشن/کوکی کی میعاد ختم ہونے کے وقت کو اپ ڈیٹ کرنے کے وقفہ کا تعین کیا جا سکے۔
- غلطیوں والے صفحات کو صاف کیا گیا تھا، جس کا مقصد ان صفحات پر درخواستوں سے معلومات کی نمائش کو ختم کرنا تھا۔
- mod_http2 "LimitRequestFieldSize" پیرامیٹر کی قدر کو مدنظر رکھتا ہے، جو پہلے صرف HTTP/1.1 ہیڈر فیلڈز کو چیک کرنے کے لیے درست تھا۔
- اس بات کو یقینی بناتا ہے کہ mod_proxy_hcheck کنفیگریشن بن جاتی ہے جب BalancerMember میں استعمال کیا جاتا ہے۔
- ایک بڑے مجموعہ پر PROPFIND کمانڈ استعمال کرتے وقت mod_dav میں میموری کی کھپت میں کمی؛
- mod_proxy اور mod_ssl میں، پراکسی بلاک کے اندر سرٹیفکیٹ اور SSL سیٹنگز کی وضاحت کے مسائل حل ہو چکے ہیں۔
- mod_proxy SSLProxyCheckPeer* کی ترتیبات کو تمام پراکسی ماڈیولز پر لاگو کرنے کی اجازت دیتا ہے۔
- ماڈیول کی صلاحیتیں پھیل گئیں۔ , آئیے ACME (خودکار سرٹیفکیٹ مینجمنٹ انوائرنمنٹ) پروٹوکول کا استعمال کرتے ہوئے سرٹیفکیٹس کی وصولی اور دیکھ بھال کو خودکار کرنے کے لیے پروجیکٹ کو انکرپٹ کریں:
- پروٹوکول کا دوسرا ورژن شامل کیا گیا۔ ، جو اب پہلے سے طے شدہ ہے اور GET کے بجائے خالی POST درخواستیں۔
- TLS-ALPN-01 ایکسٹینشن (RFC 7301، Application-Layer Protocol Negotiation) کی بنیاد پر تصدیق کے لیے معاونت شامل کی گئی، جو HTTP/2 میں استعمال ہوتی ہے۔
- 'tls-sni-01' تصدیقی طریقہ کے لیے سپورٹ بند کر دیا گیا ہے (کی وجہ سے ).
- 'dns-01' طریقہ استعمال کرتے ہوئے چیک کو ترتیب دینے اور توڑنے کے لیے کمانڈز شامل کیے گئے۔
- سپورٹ شامل کر دی گئی۔ سرٹیفکیٹس میں جب DNS پر مبنی تصدیق فعال ہو ('dns-01')۔
- نافذ کردہ 'md-status' ہینڈلر اور سرٹیفکیٹ اسٹیٹس صفحہ 'https://domain/.httpd/certificate-status'۔
- جامد فائلوں کے ذریعے ڈومین پیرامیٹرز کو ترتیب دینے کے لیے "MDCertificateFile" اور "MDCertificateKeyFile" ہدایات شامل کی گئیں (بغیر آٹو اپ ڈیٹ سپورٹ کے)۔
- 'تجدید'، 'میعاد ختم' یا 'خرابی' کے واقعات پیش آنے پر بیرونی کمانڈز کو کال کرنے کے لیے "MDMessageCmd" ہدایت شامل کی گئی۔
- سرٹیفکیٹ کی میعاد ختم ہونے کے بارے میں انتباہی پیغام کو ترتیب دینے کے لیے "MDWarnWindow" ہدایت شامل کی گئی۔
ماخذ: opennet.ru