آسیب‌پذیری بحرانی Apache HTTP Server و راه‌کار موقت غیرفعال‌سازی HTTP/2

آسیب‌پذیری بحرانی Apache HTTP Server و راهکار موقت غیرفعال‌سازی HTTP/2 در آن
Avatar
نویسنده: دارا رستگار
چهارشنبه 16 اردیبهشت 1405
مطالعه: ۳ دقیقه ۰ نظر ۲ بازدید

در این مقاله میخوانید

در روزهای اخیر، گزارشی از یک آسیب‌پذیری بحرانی در برخی نسخه‌های Apache منتشر شده که می‌تواند در شرایط خاص، زمینه سوءاستفاده مهاجمان را فراهم کند. با توجه به اینکه Apache یکی از پراستفاده‌ترین وب‌سرورها در زیرساخت‌های میزبانی است، این مسئله می‌تواند تعداد زیادی از سرورها و وب‌سایت‌ها را تحت تاثیر قرار دهد.
این آسیب‌پذیری بیشتر سرورهایی را هدف قرار می‌دهد که از HTTP/2 استفاده می‌کنند یا برخی ماژول‌های خاص مانند mod_dav_lock روی آن‌ها فعال هستند. تا زمان انتشار نسخه پایدار یا اعمال به‌روزرسانی امنیتی، بهتر است مدیران سرور اقدامات موقت اما ضروری را برای کاهش ریسک انجام دهند. در ادامه این مطلب از بخش اخبار فناوری در بلاگ پارس‌پک نحوه پیشگیری از این آسیب را بررسی می‌کنیم.

چه نسخه‌هایی تحت تاثیر این بحران امنیتی هستند؟

اگر نسخه 2.4.66 یا پایین‌تر آپاچی روی سرور شما نصب شده باشد، لازم است اقدامات موقت امنیتی را تا زمان انتشار یا اعمال به‌روزرسانی انجام دهید. برای پیدا کردن نسخه آپاچی نصب شده می‌توانید از دستور زیر استفاده کنید:

httpd -v 2>/dev/null || apache2 -v

نحوه بررسی فعال بودن HTTP/2

برای بررسی فعال بودن HTTP/2 روی دامنه، دستور زیر را اجرا کنید:

curl -sI --http2 https://yourdomain.com -o /dev/null -w "%{http_version}\n"

اگر خروجی عدد 2 باشد، به این معناست که HTTP/2 روی سرور فعال است.

راه‌کار موقت: غیرفعال‌سازی HTTP/2 در cPanel

اگر از cPanel استفاده می‌کنید، می‌توانید به‌صورت موقت HTTP/2 را با دستور زیر غیرفعال کنید:

echo 'Protocols http/1.1' >> /etc/apache2/conf.d/disable_http2.conf
/scripts/rebuildhttpdconf && service httpd restart

این تنظیمات باعث می‌شود که سرور فقط از HTTP/1.1 استفاده کند تا احتمال سوءاستفاده کاهش پیدا کند.

غیرفعال‌سازی HTTP/2 در DirectAdmin یا CustomBuild

در سرورهایی که از DirectAdmin استفاده می‌کنند، دستور زیر را اجرا کنید:

echo 'Protocols http/1.1' >> /etc/httpd/conf/extra/httpd-default.conf
systemctl restart httpd

نحوه بررسی ماژول mod_dav_lock

یکی دیگر از بخش‌های مرتبط با این آسیب‌پذیری، ماژول mod_dav_lock است. اگر از WebDAV استفاده نمی‌کنید، بهتر است وضعیت آن را با کد زیر بررسی کنید:

grep -r 'dav_lock' /etc/apache2/ /etc/httpd/ 2>/dev/null

در صورت عدم نیاز، غیرفعال‌سازی این ماژول می‌تواند سطح ریسک را کاهش دهد.

چرا این اقدام ضروری است؟

در برخی سناریوها، این آسیب‌پذیری می‌تواند باعث اختلال در سرویس (DoS)، افزایش غیرعادی مصرف منابع سرور و حتی در شرایط خاص، اجرای کد مخرب شود. حتی اگر در حال حاضر مشکلی در عملکرد سرور مشاهده نمی‌کنید، انجام اقدامات پیشگیرانه می‌تواند از بروز مشکلات جدی‌تر جلوگیری کند.

توصیه نهایی

در صورتی که روی سرور خود از Apache استفاده می‌کنید:

  • نسخه سرویس را بررسی کنید.
  • در صورت فعال بودنHTTP/2 ، تا زمان انتشار patch پایدار، آن را غیرفعال کنید.
  • ماژول‌های غیرضروری را حذف یا غیرفعال کنید.
  • در اولین فرصت Apache را از طریق این لینک به نسخه امن به‌روزرسانی نمایید.

جمع‌بندی

آسیب‌پذیری‌های امنیتی زیرساخت، اگر به‌موقع مدیریت نشوند، می‌توانند باعث اختلال گسترده در سرویس شوند. با بررسی نسخهApache ، مدیریت HTTP/2 و حذف ماژول‌های غیرضروری، می‌توانید ریسک این تهدید را تا زمان انتشار Patch رسمی کاهش دهید.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *


ارسال دیدگاه در وبلاگ پارس‌پک را مطالعه کرده و آن‌ها را می‌پذیرم.