The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Выпуск mod_perl 2.0.11

06.10.2019 07:46

Спустя три года с момента прошлого обновления представлен новый выпуск Apache-модуля mod_perl 2.0.11. Mod_perl позволяет интегрировать интерпретатор Perl в http-сервер Apache и увеличить скорость выполнения динамического контента на Perl за счёт кэширования его байткода, а также обеспечить низкоуровневый доступ perl-скриптов ко внутренностям Apache, в том числе даёт возможность создавать модули на языке Perl, управлять конфигурацией, обрабатывать все стадии прохождения запроса.

В новой версии устранена уязвимость (CVE-2011-2767), позволяющая независимо от настройки "PerlOption -Sections" добиться выполнения произвольного Perl-кода при наличии у атакующего возможности внесения изменений в размещённый на сервере файл ".htaccess", если в настройках включена директива UserDir (разрешена обработка ~/public_html/) и не выставлено значение "AllowOverride None".

Проблема проявляется во всех версиях mod_perl 2.0 до 2.0.10 включительно и вызвана тем, что не была предусмотрена возможность отключения секции для обращений к mod_perl из ".htaccess". Например, пользователь, которому разрешено размещать только статические файлы мог добавить в .htaccess секцию ‹Perl›...‹/Perl› и добиться выполнения указанного в этой секции Perl-кода при обработке текущего каталога. Код выполняется с правами текущего пользователя в контексте серверного процесса. Проблема решена через запрет использования секций ‹Perl› в ".htaccess".

  1. Главная ссылка к новости (http://mail-archives.apache.or...)
  2. OpenNews: Уязвимости в интерпретаторе Perl, связанные с обработкой переменных окружения и regexp
  3. OpenNews: Уязвимость в Perl и библиотеке PCRE
  4. OpenNews: Выпуск mod_perl 2.0.10
  5. OpenNews: Релиз языка программирования Perl 5.30.0
  6. OpenNews: Разработчики Perl рассматривают возможность смены имени для языка Perl 6
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: perl, mod_perl, apache
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (34) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 08:11, 06/10/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В 2019 это уже скорее не нужно
     
     
  • 2.3, Аноним (3), 09:02, 06/10/2019 [^] [^^] [^^^] [ответить]  
  • –13 +/
    Причем, не "это", а "оба". И апач, и перл.
     
     
  • 3.4, Онаним (?), 09:11, 06/10/2019 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Если вам лично не нужно, то это ничего не значит.

    Старичок Apache ещё всей хипстоте даст фору https://w3techs.com/technologies/overview/web_server/all

     
     
  • 4.5, Всем Анонимам Аноним (?), 11:02, 06/10/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Я уже привык, что местные анонимы все легко знают на свете.
     
     
  • 5.7, Аноним (7), 11:15, 06/10/2019 [^] [^^] [^^^] [ответить]  
  • +15 +/
    В отличие от анонимов апач работает
     
  • 4.10, th3m3 (ok), 11:20, 06/10/2019 [^] [^^] [^^^] [ответить]  
  • –9 +/
    Апач - это как php, давно уже ненужно, есть полно более лучших вариантов. Но кто-то продолжает пользоваться по инерции.
     
     
  • 5.12, Онаним (?), 11:31, 06/10/2019 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Всё так, вот только все эти "более лучшие" варианты "более лучши" только в головах упоротых по ним хипстеров, а реальных юзкейсов у них полторы штуки.
     
     
  • 6.17, th3m3 (ok), 12:22, 06/10/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > Всё так, вот только все эти "более лучшие" варианты "более лучши" только
    > в головах упоротых по ним хипстеров, а реальных юзкейсов у них
    > полторы штуки.

    В случае с апачом - он жрёт больше ресурсов и может обслужить намного меньше запросов, при тех же равных, чем nginx. Есть и совсем запущенные случаи, когда ставят апач+nginx, чтобы совсем жизнь лёгкой не казалась. Я понимаю ещё когда на шаред-хостингах апач, а иногда апач+nginx - ещё можно как-то понять. Но, а так, если не нужны какие-то специфичные модули апача - нет смысла его юзать.

     
     
  • 7.19, Онаним (?), 12:59, 06/10/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Я что-то проспал и нгинх стал уметь динамику без костылей?

    Открою секрет - и не будет уметь никогда. Его модель работы не предполагает серьёзных задержек внутри отработки запросов. Поэтому там, где динамика - либо апач, либо подпорки и костыли в виде fpm, nginx unit и т.п.

     
     
  • 8.23, Аноним (23), 15:11, 06/10/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Да, вы проспали появление openresty и аналогов ... текст свёрнут, показать
     
     
  • 9.35, Онаним (?), 17:32, 06/10/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    openresty - это самый жуткий костыль из всех костылей, которые я видел, если чес... текст свёрнут, показать
     
     
  • 10.37, Аноним (23), 18:02, 06/10/2019 [^] [^^] [^^^] [ответить]  
  • +/
    В каком месте это костыль Встроили сервер приложений в вебсервер, чтобы убрать ... текст свёрнут, показать
     
  • 7.20, Онаним (?), 13:03, 06/10/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > может обслужить намного меньше запросов, при тех же равных, чем nginx

    Пропущено "на статику / в режиме прокси" после "запросов". Причём для второго haproxy выглядит куда продуманнее.

     
  • 7.24, Аноним (23), 15:22, 06/10/2019 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Жрет больше ресурсов чем что?
    Если сравнивать php-fpm и mod_php, разница в расходе памяти будет на единицы процентов. Особенно если потюнить апач.
    С тех пор, как угнездился мем об отсталости апача, в нем появилась быстрая отдача статики, которая мало уступает нгинксу.

    Так что если вам не нужны фичи нгинкс и разница в 5-10% производительности не является критичной - можно брать апач. Работать будет хорошо.

    В случае perl все гораздо интереснее. Mod_perl вчистую выиграет у модулей, реализующих FCGI на уровне приложения. Потому что парсеры этих промежуточных протоколов написаны на самом перле и при разборе больших запросов могут даже подвесить сервер. Приличных, годных к продакшену http-серверов для perl нет. Да и большинство приложений написаны так, чтобы выполняться синхронно, в контексте CGI.
    Недавно появился nginx unit, возможно он лучше, чем mod_perl. Но это пусть знающие люди комментируют.

    Короче, не надо лепить о том, о чем не имеете представления. Не повторяйте за дурачками, чтобы самому не казаться дурачком.

    PS Я сам очень люблю nginx и умею его готовить ( ко всему ). Использую с версий примерно 0.7.

     
  • 7.33, Аноним (33), 16:49, 06/10/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >он жрёт больше ресурсов

    это про prefork? или при всех равных используемую нгинксом память мерили без учета чего-то типа php-fpm?
    >может обслужить намного меньше запросов

    отключите обработку .htaccess.

     
  • 7.45, suffix (ok), 20:01, 07/10/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Да, ресурсов (памяти) связка nginx+apache  (mpm-prefofk) потребляет больше чем nginx+php-fpm - ну и что ?

    Если ресурсов сервера конкретного проекта (а не сферического коня в вакууме) хоть попой ешь и даже под максимальной нагрузкой для этого конкретного проекта памяти хватает для всего включая файловый кэш с запасом - то чем эта связка хуже то ?

    В плане "быстродействия" сайта никак не уступает, для сайтов на Битрикс скажем такая связка вообще предпочтительнее. Так что не надо быть настолько категоричным.

     
  • 4.11, Онаним (?), 11:30, 06/10/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Да и за доброй половиной нгинха/флейра там всё тот же апач.
     
  • 2.21, Аноним (23), 13:08, 06/10/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Вопрос всем упоротым: на чем работает опеннет?
     
     
  • 3.26, Аноним (26), 15:31, 06/10/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    На ЭВМ.
     
     
  • 4.44, Аноним (44), 15:19, 07/10/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > На ЦЭВМ.

    Не благодари.

     
  • 3.27, cat666 (ok), 15:39, 06/10/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Я не упоротый, но отвечу :)
    nmap -sV www.opennet.ru
    Starting Nmap 7.80 ( https://nmap.org ) at 2019-10-06 15:35 MSK
    Nmap scan report for www.opennet.ru (94.142.141.14)
    Host is up (0.59s latency).
    rDNS record for 94.142.141.14: opennet.ru
    Not shown: 997 filtered ports
    PORT    STATE SERVICE  VERSION
    53/tcp  open  domain   dnsmasq 2.78
    80/tcp  open  http     nginx
    443/tcp open  ssl/http nginx
     
     
  • 4.29, анонн (ok), 16:02, 06/10/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Я не упоротый, но отвечу :)
    > nmap -sV www.opennet.ru
    > Starting Nmap 7.80 ( https://nmap.org ) at 2019-10-06 15:35 MSK

    А можно было сделать просто:
    [code]
    $ HEAD opennet.ru                                                                          
    200 OK
    Connection: close
    Date: Sun, 06 Oct 2019 12:57:17 GMT
    Accept-Ranges: bytes
    Server: nginx
    Vary: Host
    [/code]
    Кстати, опеннет уже на линухе или все еще на той самой, "рипнутой и старперской"  ОС? ))

     
     
  • 5.40, Michael Shigorin (ok), 23:53, 06/10/2019 [^] [^^] [^^^] [ответить]  
  • +/
    [CODE]# nmap -A -T4 opennet.ru | grep ^OS
    OS CPE: cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:4
    OS details: Linux 3.10 - 4.11, Linux 3.2 - 4.9
    OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
    # nmap -A -T4 pair.com | grep ^OS
    OS CPE: cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:4
    OS details: Linux 3.10 - 4.11
    OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
    [/CODE]
     
  • 3.41, Аноним (41), 23:53, 06/10/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Судя по виду, на перле. Ну я так подумал до того как посмотрел в адресную строку. РИП, перл, кои8р, опеннет собрал всё самое лучшее из интернетов (лет 20 назад такое сошло бы конечно, не спорю).
     

  • 1.2, ыы (?), 08:12, 06/10/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Разрешив пользователю изменять настройки сервера, вдруг обнаружили что он этим воспользовался...Как он мог....
     
     
  • 2.15, Аноним (15), 11:42, 06/10/2019 [^] [^^] [^^^] [ответить]  
  • +/
    .htaccess предназначен для того, чтобы менять только настройки, относящиеся к отдельному каталогу. А тут полный доступ к управлению конфигурацией, если верить новости.
     
     
  • 3.48, gogo (?), 02:12, 09/10/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ну дык юзер и изменял настройки каталогу. В одном включал перл, в другом - нет ;)
    Впрочем, mod_perl в конфигурации со многими пользователями - это явно перебор. Он ведь не умеет от имени юзера работать.
     

  • 1.31, adder (ok), 16:24, 06/10/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Есть же PSGI/Plack и довольно производительные сервера, starman, Twiggy.
    Использую связку nginx+starman+Plack.

    Mod_perl вспоминается с теплотой, но сейчас, все таки, немного устарел.

     
     
  • 2.38, Аноним (38), 20:13, 06/10/2019 [^] [^^] [^^^] [ответить]  
  • +/
    FCGI?
     
     
  • 3.39, adder (ok), 21:04, 06/10/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Я про это.

    https://ru.wikipedia.org/wiki/PSGI

     

  • 1.42, Аноним (42), 08:24, 07/10/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вот ругают тут апач, а что думают, интересно, насчёт lighttpd, лайти вроде был неплохо, на то он и "лайт"...
     
  • 1.43, Аноним (43), 09:27, 07/10/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Апач конечно неплох, но у нджикса конфиги удобнее.
     
     
  • 2.46, Anonymouse (?), 09:32, 08/10/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А вы прямо ежедневно конфиги меняете, да?
     
  • 2.47, gogo (?), 02:09, 09/10/2019 [^] [^^] [^^^] [ответить]  
  • +/
    У nginx'а уже запрет на симлинки освоили? Или таки продолжают бороться за производительность? ;)
    Если юзеров на сервере больше одного, то Apache единственный и неповторимый.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру