URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 94962
[ Назад ]
Исходное сообщение
"Обновление nginx 1.4.7 с устранением опасной уязвимости в ре..."
Отправлено opennews , 18-Мрт-14 23:12 
Доступны обновления стабильной (1.4.7 (http://mailman.nginx.org/pipermail/nginx-announce/2014/00013...)) и экспериментальной (1.5.12 (http://mailman.nginx.org/pipermail/nginx-announce/2014/00013...)) ветки http-сервера nginx (http://www.nginx.org) с устранением уязвимости (http://mailman.nginx.org/pipermail/nginx-announce/2014/00013...) (CVE-2014-0133) в модуле ngx_http_spdy_module. Проблема проявляется в переполнении буфера при выполнении специально сформированных запросов по протоколу SPDY и может потенциально привести  в выполнению кода атакующего с правами рабочего процесса nginx.


Следует отметить, что реализация протокола SPDY носит экспериментальный характер и не включена по умолчанию. Проблема затрагивает все версии nginx, начиная с 1.3.15, собранные с поддержкой модуля ngx_http_spdy_module без использования отладочного режима ("--with-debug"), в которых в файле конфигурации активирована опция "spdy" в директиве "listen".

URL: http://mailman.nginx.org/pipermail/nginx-announce/2014/00013...
Новость: http://www.opennet.ru/opennews/art.shtml?num=39344

Содержание
Сообщения в этом обсуждении
"Обновление nginx 1.4.7 с устранением опасной уязвимости в ре..."
Отправлено Аноним , 18-Мрт-14 23:12 
> экспериментальной (1.5.12) ветки

В каком месте она экспериментальная?  На сайте написано - "основная".

"Обновление nginx 1.4.7 с устранением опасной уязвимости в ре..."
Отправлено Аноним , 19-Мрт-14 00:17 
> В каком месте она экспериментальная?  На сайте написано - "основная".

На сайте nginx.org написано "mainline", что означает "находящаяся в разработке",  стабильная ветка 1.4, а 1.5 для экспериментов на свой страх и риск. После стабилизации на основе 1.5 будет выпущена стабильная ветка 1.6.

"Обновление nginx 1.4.7 с устранением опасной уязвимости в ре..."
Отправлено Аноним , 19-Мрт-14 00:42 
>> В каком месте она экспериментальная?  На сайте написано - "основная".
> На сайте nginx.org написано "mainline", что означает "находящаяся в разработке",  стабильная
> ветка 1.4, а 1.5 для экспериментов на свой страх и риск.
> После стабилизации на основе 1.5 будет выпущена стабильная ветка 1.6.

С чего вы взяли? Где это написано? На сайте nginx.org/ru/ написано основная версия.

"Обновление nginx 1.4.7 с устранением опасной уязвимости в ре..."
Отправлено cvsup1 , 19-Мрт-14 00:48 
http://nginx.org/ru/docs/http/ngx_http_spdy_module.html
"Обновление nginx 1.4.7 с устранением опасной уязвимости в ре..."
Отправлено cvsup1 , 19-Мрт-14 00:51 
P.S.
касаемо "экспериментальной ветки" - согласен, я не нашел слова "experimental" в слове "mainline"
"Обновление nginx 1.4.7 с устранением опасной уязвимости в ре..."
Отправлено Аноним , 19-Мрт-14 08:39 
Всегда в nginx стабильными были только ветки со вторым чётным номером,  с нечётным - нестабильные.
"Обновление nginx 1.4.7 с устранением опасной уязвимости в ре..."
Отправлено Аноним , 19-Мрт-14 12:01 
Один из разработчиков, выступавший на хайлоаде, говорил, что обе ветки стабильные и рекомендовал 1.5 для продакшена.
"Обновление nginx 1.4.7 с устранением опасной уязвимости в ре..."
Отправлено Аноним , 20-Мрт-14 12:50 
модуль spdy - экспериментальный, в дефолтных пакетах его нет.

честно предупреждают [1]:

> Известные проблемы
>
>Модуль экспериментальный, поэтому возможно всё.

[1] http://nginx.org/ru/docs/http/ngx_http_spdy_module.html

"Обновление nginx 1.4.7 с устранением опасной уязвимости в ре..."
Отправлено Аноним , 20-Мрт-14 18:50 
Модуль же, но не ветка (как было написано в первоначальной версии новости).
"Обновление nginx 1.4.7 с устранением опасной уязвимости в ре..."
Отправлено Аноним , 18-Мрт-14 23:31 
http://www.securityfocus.com/bid/59496
http://www.securityfocus.com/bid/59323
http://www.securityfocus.com/bid/52999
http://www.securityfocus.com/bid/50710
http://www.securityfocus.com/bid/36839
http://www.securityfocus.com/bid/36384

Все-таки nginx - неплохая замена Apache, когда нужно организовать общедоступный shell-сервер. И достойный конкурент proftpd на этом поле.

"Обновление nginx 1.4.7 с устранением опасной уязвимости в ре..."
Отправлено Аноним , 18-Мрт-14 23:48 
А что, ssh запустить - слишком просто?
"Обновление nginx 1.4.7 с устранением опасной уязвимости в ре..."
Отправлено irinat , 19-Мрт-14 00:05 
Nginx 0.8, nginx 1.0, debian 5. Ваши новости, кхм, немного устарели.
"Обновление nginx 1.4.7 с устранением опасной уязвимости в ре..."
Отправлено asand3r , 19-Мрт-14 08:55 
Ваш Debian немного устарел. ;)
"Обновление nginx 1.4.7 с устранением опасной уязвимости в ре..."
Отправлено irinat , 19-Мрт-14 11:48 
> Ваш Debian немного устарел. ;)

Поясню. Сообщения об уязвимостях, приведенные анонимом, относятся к событиям времён Debian 5 и nginx 1.0.

"Обновление nginx 1.4.7 с устранением опасной уязвимости в ре..."
Отправлено Аноним , 19-Мрт-14 16:40 
как замена апачу - N2O нормально.
или Ковбой, если есть клиенты мобильные, где платформа имеет забагованную, пока, вебсокетов поддержку.
ngnx для малвера хорошо. криминалитет, правительство, провайдеры - оченно его любят.
как вебсервер как таковой - оно не але для XXI, хотя на фоне апача - выпукло получше.
но стоит ли ставить слабость апача - в достоинство другому продукту ? не думаю.
"Обновление nginx 1.4.7 с устранением опасной уязвимости в ре..."
Отправлено user455 , 20-Мрт-14 13:39 
а чем апач хуже нгинкса? ну только аргументированно по пунктикам.
"Обновление nginx 1.4.7 с устранением опасной уязвимости в ре..."
Отправлено D , 20-Мрт-14 14:58 
сохацкий, залогинтесь