The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

06.11.2018 19:48  Обновление nginx 1.14.1 и 1.15.6 с устранением трёх уязвимостей

Опубликованы новые выпуски основной и стабильной веток высокопроизводительного HTTP-сервера nginx - 1.14.1 и 1.15.6, в которых устранены три уязвимости:

  • CVE-2018-16845 - ошибка в модуле ngx_http_mp4_module (не собирается по умолчанию) может привести к краху рабочего процесса или отправке в составе ответа содержимого областей памяти рабочего процесса при обработке специально оформленных файлов mp4;
  • CVE-2018-16843 - DoS-уязвимость в реализации протокола HTTP/2, которая может привести к исчерпанию доступной процессу памяти. Проблема проявляется только при использовании модуля ngx_http_v2_module и указании опции "http2" в блоке "listen";
  • CVE-2018-16844 - DoS-уязвимость в реализации протокола HTTP/2, которая может привести к утилизации доступных ресурсов CPU.

В выпуске 1.15.6 дополнительно для настройки keepalive для исходящих соединений (включения или выключения опции SO_KEEPALIVE для сокетов) добавлены новые директивы:

  • "proxy_socket_keepalive",
  • "fastcgi_socket_keepalive",
  • "grpc_socket_keepalive",
  • "memcached_socket_keepalive",
  • "scgi_socket_keepalive",
  • "uwsgi_socket_keepalive"

Исправлена ошибка, из-за которой протокол TLS 1.3 оставался постоянно включен при сборке с OpenSSL 1.1.0 и использовании OpenSSL 1.1.1. В бэкендах gRPC сокращено потребление памяти.

  1. Главная ссылка к новости (http://mailman.nginx.org/piper...)
  2. OpenNews: Релиз njs 0.2.5, интерпретатора JavaScript от NGINX
  3. OpenNews: Выпуск сервера приложений NGINX Unit 1.5 с поддержкой Node.js
  4. OpenNews: Выпуск nginx 1.15.4
  5. OpenNews: Релиз nginx 1.14.0
Лицензия: CC-BY
Тип: Программы
Ключевые слова: nginx
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Аноним (1), 20:19, 06/11/2018 [ответить] [показать ветку] [···]    [к модератору]
  • –4 +/
    Так вот он чем лучше апача...
     
     
  • 2.4, Аноним (4), 20:29, 06/11/2018 [^] [ответить]    [к модератору]
  • +5 +/
    Только лишь в Apache 2.4 было в два раза больше уязвимостей, чем в nginx за всю историю.
    https://httpd.apache.org/security/vulnerabilities_24.html
     
     
     
     
    Часть нити удалена модератором

  • 5.7, Аноним (4), 21:18, 06/11/2018 [ответить]    [к модератору]
  • +/
    > Зочем? У него же нормальный async polling

    И как это поможет критичным к вычислительных ресурсам задачам, таким как TLS и сжатие на многоядерной системе (чуть менее чем все)?

     
  • 3.8, Fyjybv755 (?), 21:22, 06/11/2018 [^] [ответить]    [к модератору]
  • –1 +/
    >  Только лишь в Apache 2.4 было в два раза больше уязвимостей, чем в nginx за всю историю.

    А если считать только moderate (DoS и pwn), проявляющиеся в дефолтной конфигурации?

     
  • 3.9, _KUL (ok), 00:12, 07/11/2018 [^] [ответить]    [к модератору]
  • +/
    История apache гораздо больше истории nginx
     
     
  • 4.15, Аноним (15), 06:57, 07/11/2018 [^] [ответить]    [к модератору]  
  • +3 +/
    ... Поэтому, за всю историю apache уязвимостей было просто дохрена!

    (Где логика в твоих словах? Если ты что-то хотел сказать - ты не договорил.)

     
     
  • 5.19, funny.falcon (?), 08:22, 08/11/2018 [^] [ответить]    [к модератору]  
  • +/
    Логика в том, что нужно мерять не уязвимости за все время жизни, а в среднем за год.
     
     
  • 6.21, Аноним (21), 22:09, 08/11/2018 [^] [ответить]     [к модератору]  
  • +/
    nginx существует гораздо дольше, чем apache 2 4, а уязвимостей у него было вдвое... весь текст скрыт [показать]
     
  • 1.10, Ivan_83 (ok), 01:30, 07/11/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    http2 - нинужен, вот и доказательства.
     
     
  • 2.20, пох (?), 21:53, 08/11/2018 [^] [ответить]    [к модератору]  
  • +/
    эта оверинжиниренная бесполезная хрень ненужно даже если бы в ней не водилась дыра на дыре.

    ну кроме, конечно же, гуглепейсбукотентаклей, продолжающих уничтожать любой интернет, кроме принадлежащего им.

     
  • 1.14, Аноним (14), 03:25, 07/11/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Они еще живут в мире где есть TCP/IP?

    QUIC наше все!

     
     
  • 2.16, Аноним (15), 06:59, 07/11/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    для Ъ объясните, что такое QUIC, пожалуйста.

    SCTP не смогло забороть TCP, а этот квик - да?

     
     
  • 3.18, Аноним (14), 09:00, 07/11/2018 [^] [ответить]    [к модератору]  
  • +/
    > что такое QUIC, пожалуйста

    Идите посмотрите будущий стандарт HTTP/3 и где вы там видите TCP?

     
  • 2.17, пох (?), 07:45, 07/11/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    гугль, ты залогиниться забыл!

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor