Apache, বিশ্বের বহুল ব্যবহৃত ওয়েব সার্ভার সফ্টওয়্যার, বার বার কুখ্যাত দুর্বলতার শিকার হয়েছে। এই দুর্বলতাগুলি সার্ভারকে বিভিন্ন ধরণের দূষিত আক্রমণ এবং অন্যান্য ইন্টারনেট জালিয়াতির প্রবণতা দেয় যা তথ্য চুরি এবং ক্ষতির দিকে পরিচালিত করে। যদিও Apache নিয়মিতভাবে তার দুর্বল সংস্করণগুলির জন্য আপডেট প্রকাশ করে, নিম্নলিখিত Apache দুর্বলতাগুলি ব্যবহারকারীদের কাছে তাদের সম্ভাব্য ক্ষতির জন্য কুখ্যাতি অর্জন করেছে৷

১. OpenMeetings SQL ইনজেকশন দুর্বলতা

Apache OpenMeetings সংস্করণ 1.0.0 একটি এসকিউএল ইনজেকশন দুর্বলতা (CVE-2017-7681) এর জন্য ঝুঁকিপূর্ণ পাওয়া গেছে, এটি তথ্য প্রকাশের সম্ভাবনা তৈরি করে। দুর্বলতা কাজে লাগাতে, আক্রমণকারীকে সিস্টেমে লগ ইন করতে হবে যেমন কমান্ড লাইনে বা ডেস্কটপ সেশন বা ওয়েব ইন্টারফেসের মাধ্যমে। কিছু সিস্টেম ফাইল বা তথ্য পরিবর্তন করা সম্ভব, কিন্তু আক্রমণকারীর নিয়ন্ত্রণ নেই কী পরিবর্তন করা যেতে পারে, বা আক্রমণকারী কী প্রভাবিত করতে পারে তার সুযোগ সীমিত৷

OpenMeetings হল অন্যতম জনপ্রিয় ভার্চুয়াল মিটিং সফ্টওয়্যার, যা অনলাইন উপস্থাপনা, অনলাইন প্রশিক্ষণ, ওয়েব কনফারেন্সিং এবং ব্যবহারকারীর ডেস্কটপ শেয়ারিংয়ের জন্য ব্যাপকভাবে ব্যবহৃত হয়। এর ব্যাপক ব্যবহার বিদ্যমান কোয়েরির কাঠামোর ঝুঁকি এবং ব্যাক-এন্ডে অ্যাপ্লিকেশন দ্বারা তৈরি করা অন্যান্য প্রশ্নের কাঠামো ফাঁস হওয়ার ঝুঁকি প্রদান করে৷

তাৎক্ষণিক প্রতিকার হল Apache OpenMeetings 3.3.0 এ আপগ্রেড করা

আপনি যদি আপনার ওয়েবসাইটের (কাস্টম কোডেড বা CMS) নিরাপত্তা সমাধান খুঁজছেন, Astra Firewall আপনার ওয়েবসাইটকে XSS, LFI, RFI, SQL ইনজেকশন, খারাপ বট এবং 80+ অন্যান্য হুমকি থেকে 24×7 রক্ষা করবে। এখন Astra ডেমো নিন।

2. অ্যাপাচি রেঞ্জার সিকিউরিটি বাইপাস দুর্বলতা

Apache Ranger একটি সিকিউরিটি-বাইপাস দুর্বলতা (CVE-2017-7676) প্রবণ হয়েছে। ফলস্বরূপ, আক্রমণকারীরা কিছু নিরাপত্তা বিধিনিষেধ বাইপাস করতে এবং অননুমোদিত ক্রিয়া সম্পাদন করতে এই সমস্যাটিকে কাজে লাগাতে পারে, যা আরও আক্রমণে সহায়তা করতে পারে। এটি পলিসি রিসোর্স ম্যাচারকে '*' ওয়াইল্ডকার্ড ক্যারেক্টারের পরে থাকা অক্ষরগুলিকে উপেক্ষা করার অনুমতি দেয়, যার ফলে প্রভাবিত নীতিগুলি রিসোর্সে প্রয়োগ করা হয় যেখানে সেগুলি প্রয়োগ করা উচিত নয়৷

Apache Ranger হল Hadoop প্ল্যাটফর্ম জুড়ে ব্যাপক ডেটা নিরাপত্তা সক্ষম, নিরীক্ষণ এবং পরিচালনা করতে ব্যবহৃত একটি ব্যাপকভাবে নিযুক্ত ফ্রেমওয়ার্ক। যদিও কম তীব্রতা হিসাবে বিবেচিত, কার্যকরভাবে. নিরাপত্তা বাইপাস দুর্বলতা রেঞ্জার সংস্করণ 0.5.1 থেকে 0.7 কে প্রভাবিত করে। তাৎক্ষণিক প্রতিকার হল Apache Ranger সংস্করণ 0.7.1-এ আপগ্রেড করা যা এই সমস্যার সমাধান করে।

3. Apache HTTP সার্ভার প্রমাণীকরণ বাইপাস দুর্বলতা

Apache HTTP সার্ভার CVE-2017-3167 প্রমাণীকরণ বাইপাস দুর্বলতা একজন আক্রমণকারীকে প্রমাণীকরণ প্রক্রিয়া বাইপাস করতে এবং অননুমোদিত ক্রিয়া সম্পাদন করতে দেয়, যা আরও আক্রমণের দিকে পরিচালিত করে। এই দুর্বলতার দ্বারা প্রভাবিত সংস্করণগুলি হল Apache HTTP সার্ভার 2.2.0 থেকে 2.2.32 এবং Apache HTTP সার্ভার 2.4.0 থেকে 2.4.25

দুর্বলতা ap_get_basic_auth_pw() এর অনুপযুক্ত ব্যবহার থেকে উদ্ভূত হয় প্রভাবিত সফ্টওয়্যার প্রমাণীকরণ পর্যায়ের বাইরে তৃতীয় পক্ষের মডিউল দ্বারা Apache HTTP সার্ভারের কার্যকারিতা। পরিবর্তে, তৃতীয় পক্ষের মডিউলগুলি ap_get_basic_auth_components() নিয়োগ করা উচিত ফাংশন।

সুরক্ষার মধ্যে রয়েছে স্থির সংস্করণে আপডেট করা, শুধুমাত্র বিশ্বস্ত ব্যবহারকারীদের জন্য নেটওয়ার্ক অ্যাক্সেস, এবং শুধুমাত্র বিশ্বস্ত সিস্টেমগুলিকে প্রভাবিত সিস্টেমগুলি অ্যাক্সেস করার অনুমতি দেওয়ার জন্য আইপি-ভিত্তিক অ্যাক্সেস কন্ট্রোল তালিকা (ACL) নিয়োগ করা৷

এছাড়াও, মোস্ট ক্রিটিকাল অ্যাপাচি দুর্বলতার উপর আমাদের বিস্তারিত ব্লগ দেখুন

অনলাইন প্রতারকদের থেকে আপনার ওয়েবসাইট সুরক্ষিত করার বিষয়ে চিন্তিত? যোগাযোগ করুন অস্ট্রার ওয়েব সিকিউরিটি স্যুট থেকে সার্বক্ষণিক নিরাপত্তা নিশ্চিত করতে XSS, LFI, RFI, SQL ইনজেকশন, খারাপ বট এবং 80+ অন্যান্য হুমকি ।