अपाचे, दुनिया का व्यापक रूप से इस्तेमाल किया जाने वाला वेब सर्वर सॉफ्टवेयर, बार-बार कुख्यात कमजोरियों का शिकार रहा है। ये कमजोरियां सर्वर को विभिन्न प्रकार के दुर्भावनापूर्ण हमलों और अन्य इंटरनेट धोखाधड़ी के लिए प्रवण बनाती हैं जिससे सूचना की चोरी और हानि होती है। जबकि अपाचे नियमित रूप से अपने कमजोर संस्करणों के लिए अपडेट जारी करता है, अपाचे कमजोरियों के बाद उपयोगकर्ताओं के लिए उनके संभावित जोखिम के लिए बदनामी हुई है।
1. OpenMeetings SQL इंजेक्शन भेद्यता
Apache OpenMeetings संस्करण 1.0.0 को SQL इंजेक्शन भेद्यता (CVE-2017-7681) के लिए असुरक्षित पाया गया, जो इसे सूचना प्रकटीकरण की क्षमता प्रदान करता है। भेद्यता का फायदा उठाने के लिए, हमलावर को सिस्टम में लॉग इन करने की आवश्यकता होगी जैसे कमांड लाइन पर या डेस्कटॉप सत्र या वेब इंटरफेस के माध्यम से। कुछ सिस्टम फ़ाइलों या सूचनाओं का संशोधन संभव है, लेकिन हमलावर का इस पर नियंत्रण नहीं है कि क्या संशोधित किया जा सकता है, या हमलावर जो प्रभावित कर सकता है उसका दायरा सीमित है।
OpenMeetings सबसे लोकप्रिय वर्चुअल मीटिंग सॉफ़्टवेयर में से एक है, जिसका व्यापक रूप से ऑनलाइन प्रस्तुतियों, ऑनलाइन प्रशिक्षण, वेब कॉन्फ्रेंसिंग और उपयोगकर्ता डेस्कटॉप साझाकरण के लिए उपयोग किया जाता है। इसका व्यापक उपयोग मौजूदा क्वेरी की संरचना और बैक-एंड में एप्लिकेशन द्वारा किए जा रहे अन्य प्रश्नों की संरचना को लीक करने का जोखिम प्रदान करता है।
Apache OpenMeetings 3.3.0
. में अपग्रेड करने के लिए तत्काल उपचार हैयदि आप अपनी वेबसाइट (कस्टम कोडेड या सीएमएस) के लिए एक सुरक्षा समाधान की तलाश कर रहे हैं, तो एस्ट्रा फ़ायरवॉल आपकी वेबसाइट को 24×7 XSS, LFI, RFI, SQL इंजेक्शन, खराब बॉट्स और 80+ अन्य खतरों से सुरक्षित रखेगा। अभी एस्ट्रा डेमो लें।
2. अपाचे रेंजर सुरक्षा बाईपास भेद्यता
अपाचे रेंजर को सुरक्षा-बाईपास भेद्यता (सीवीई-2017-7676) के लिए प्रवण प्रदान किया गया है। नतीजतन, हमलावर कुछ सुरक्षा प्रतिबंधों को दरकिनार करने और अनधिकृत कार्रवाई करने के लिए इस मुद्दे का फायदा उठा सकते हैं, जो आगे के हमलों में सहायता कर सकते हैं। यह नीति संसाधन मिलानकर्ता को '*' वाइल्डकार्ड वर्ण के बाद वर्णों को अनदेखा करने की अनुमति देता है, जिसके परिणामस्वरूप उन संसाधनों पर प्रभावित नीतियां लागू होती हैं जहां उन्हें लागू नहीं किया जाना चाहिए।
Apache Ranger एक व्यापक रूप से नियोजित ढांचा है जिसका उपयोग Hadoop प्लेटफॉर्म पर व्यापक डेटा सुरक्षा को सक्षम, मॉनिटर और प्रबंधित करने के लिए किया जाता है। हालांकि कम गंभीरता के रूप में माना जाता है, प्रभावी रूप से। सुरक्षा बाईपास भेद्यता रेंजर संस्करण 0.5.1 से 0.7 को प्रभावित करती है। तत्काल उपचार अपाचे रेंजर संस्करण 0.7.1 में अपग्रेड करना है जो इस समस्या को ठीक करता है।
3. Apache HTTP सर्वर प्रमाणीकरण बायपास भेद्यता
Apache HTTP सर्वर CVE-2017-3167 ऑथेंटिकेशन बायपास भेद्यता एक हमलावर को प्रमाणीकरण तंत्र को बायपास करने और अनधिकृत कार्रवाई करने की अनुमति देती है, जिससे आगे हमले होते हैं। इस भेद्यता से प्रभावित संस्करण Apache HTTP सर्वर 2.2.0 से 2.2.32 और Apache HTTP सर्वर 2.4.0 से 2.4.25
हैं।भेद्यता ap_get_basic_auth_pw() के अनुचित उपयोग से उत्पन्न होती है प्रभावित सॉफ़्टवेयर के प्रमाणीकरण चरण के बाहर तृतीय-पक्ष मॉड्यूल द्वारा Apache HTTP सर्वर का कार्य। इसके बजाय, तीसरे पक्ष के मॉड्यूल को ap_get_basic_auth_components() का इस्तेमाल करना चाहिए समारोह।
सुरक्षा उपायों में निश्चित संस्करण में अपडेट करना, केवल विश्वसनीय उपयोगकर्ताओं के लिए नेटवर्क एक्सेस, और केवल विश्वसनीय सिस्टम को प्रभावित सिस्टम तक पहुंचने की अनुमति देने के लिए आईपी-आधारित एक्सेस कंट्रोल लिस्ट (एसीएल) को नियोजित करना शामिल है।
साथ ही, सबसे महत्वपूर्ण अपाचे भेद्यताओं पर हमारा विस्तृत ब्लॉग देखें
अपनी वेबसाइट को ऑनलाइन धोखेबाजों से सुरक्षित रखने के बारे में चिंतित हैं? संपर्क करें एस्ट्रा का वेब सुरक्षा सूट चौबीसों घंटे सुरक्षा सुनिश्चित करने के लिए XSS, LFI, RFI, SQL इंजेक्शन, खराब बॉट और 80+ अन्य खतरे .