اپاچی سٹرپس
اے ایس ایف کمیونٹی کے ذریعہ کنفلوینس کی ویب سائٹ پر شائع ہونے والی ایک ایڈوائزری میں ، اپاچی سٹرٹس 2.x میں ریموٹ کوڈ پر عمل درآمد کے خطرے کو یاسر زمانی نے دریافت کیا اور اس کی وضاحت کی۔ یہ دریافت سیمل سیکیورٹی ریسرچ ٹیم کے مین یو مو نے کی۔ اس کے بعد ہی خطرے کو CVE-2018-11776 کا لیبل دیا گیا ہے۔ ریموٹ کوڈ پر عمل درآمد کے مواقع کے استحصال کے ساتھ یہ اپاچی سٹرٹ ورژن 2.3 سے 2.3.34 اور 2.5 سے 2.5.16 پر اثر انداز ہوتا ہے۔
یہ خطرہ اس وقت پیدا ہوتا ہے جب نام کی جگہ کے بغیر نتائج استعمال کیے جائیں جب کہ ان کے اوپری اعمال میں کوئی نام کی جگہ نہیں ہے یا وائلڈ کارڈ نام کی جگہ نہیں ہے۔ یہ خطرہ بھی بغیر کسی قدر و افعال کے URL ٹیگ کے استعمال سے پیدا ہوتا ہے۔
کے ارد گرد کے کام کی تجویز دی گئی ہے ایڈوائزری اس خطرے کو کم کرنے کے لئے جس سے مطالبہ کیا جاتا ہے کہ صارف اس بات کو یقینی بنائیں کہ نام کی جگہ ہمیشہ بنیادی تشکیلات میں طے شدہ نتائج کے لئے بغیر کسی جگہ کے قائم کی جائے۔ اس کے علاوہ ، صارفین کو یہ بھی یقینی بنانا ہوگا کہ وہ ہمیشہ اپنے جے ایس پیز میں ناکام ہوئے بغیر یو آر ایل ٹیگ کے لئے بالترتیب قدریں اور اقدامات مرتب کریں۔ جب بالائی نام کی جگہ موجود نہیں ہے یا بطور وائلڈ کارڈ موجود نہیں ہے تو ان چیزوں پر غور کرنے اور یقینی بنانے کی ضرورت ہے۔
اگرچہ فروش نے اس بات کی نشاندہی کی ہے کہ 2.3 سے 2.3.34 اور 2.5 سے 2.5.16 کی حد تک کے ورژن متاثر ہوئے ہیں ، ان کا یہ بھی خیال ہے کہ غیر تعاون یافتہ اسٹرruٹس ورژن بھی اس خطرے سے دوچار ہوسکتے ہیں۔ اپاچی اسٹرٹس کے معاون ورژن کے لئے ، فروش نے اپاچی اسٹرٹس ورژن جاری کیا ہے 2.3.35 2.3.x ورژن کی کمزوریوں کے ل. ، اور اس نے ورژن جاری کیا ہے 2.5.17 ورژن 2.5.x خطرات کے ل.۔ صارفین سے درخواست کی گئی ہے کہ وہ استحصال کے خطرے سے پاک ہونے کے لئے متعلقہ ورژن میں اپ گریڈ کریں۔ خطرے کو اہم قرار دیا جاتا ہے اور اس طرح فوری کارروائی کی درخواست کی جاتی ہے۔
ان ممکنہ ریموٹ کوڈ پر عمل درآمد کے خطرات کو محض ٹھیک کرنے کے علاوہ ، اپ ڈیٹس میں سیکیورٹی کے چند اور اپ ڈیٹس بھی شامل ہیں جو ایک ہی وقت میں ڈھیر ہو چکے ہیں۔ پسماندہ مطابقت کے امور کی توقع نہیں کی جاسکتی ہے کیونکہ دوسرے متفرق اپ ڈیٹس جاری کردہ پیکیج ورژن کا حصہ نہیں ہیں۔
