https://opennet.ru/openforum/vsluhforumID3/80662.html В http-сервере Apache обнаружена (http://www.contextis.com/research/blog/reverseproxybypass/) заслуживающая внимания уязвимость, проявляющаяся при работе в режиме обратного прокси. При наличии определенных rewrite-правил в конфигурации сервера, уявзимость позволяет отправить запрос из внешней сети к внутренним серверам в демилитаризованной зоне (DMZ) за границей межсетевого экрана. Проблеме подвержены все версии Apache 1.3.x и Apache 2.x. Разработчики Apache уже выпустили уведомление (http://mail-archives.apache.org/mod_mbox/httpd-announce/201110.mbox/%3C20111005141541.GA7696@redhat.com%3E) о наличии уязвимости и патч (http://www.apache.org/dist/httpd/patches/apply_to_2.2.21/) для устранения проблемы в Apache 2.2.21. <br>&lt;center&gt;&lt;img src="http://www.opennet.ru/opennews/pics_base/31960_1317882374.png " style="border-style: solid; border-color: #e9ead6; border-width: 15px;" title="" border=0&gt;&lt;/center&gt;<br><br><br>Проблема проявляется только в Apache, настроенном для работы в режиме обратного прок...<br><br>URL: http://mail-ar https://opennet.ru/openforum/vsluhforumID3/80662.html#34 Fri, 07 Oct 2011 10:37:42 GMT &gt; Заголовок - хоть сейчас в какой-нибудь псевдонаучно-фантастический сериал!<br>&gt; Попробуйте вслух прочитать!<br><br>+1 .. репортёры канала РЭН-ТВ молча завидуюут :-D<br> https://opennet.ru/openforum/vsluhforumID3/80662.html#33 Fri, 07 Oct 2011 03:43:05 GMT &gt; и чего не зафайлил баг?<br>&gt; заметил - пости на багзиллу. чего ждать, пока другие заметят (не факт, <br>&gt; что порядочные) <br><br>Да я даже и не предполагал что такое возможно<br>ну заметил в логах фаера что идут посторонние запросы с внутренних хост машин на другие компы/сервера<br>Ктож знал что это не баг такой а фттча от АНБ и ЦРУ<br> https://opennet.ru/openforum/vsluhforumID3/80662.html#32 Thu, 06 Oct 2011 20:30:04 GMT &gt; Проблема может быть решена при помощи патча, который запрещает передачу URI, начинающегося с символа "@" ("@other.example.com/something.png"), так как такой запрос не соответствует спецификации HTTP<br><br>пусть разрешать использовть чтобы первый знак был ТОЛЬКО "/"... или "http://" "https://"! <br><br>без всяких там ("@" первым нельзя, а остальное можно)<br> https://opennet.ru/openforum/vsluhforumID3/80662.html#31 Thu, 06 Oct 2011 18:44:26 GMT &gt; Заголовок - хоть сейчас в какой-нибудь псевдонаучно-фантастический сериал!<br>&gt; Попробуйте вслух прочитать!<br><br>Ну, разобраться что к чему - можно. А что еще надо то?<br> https://opennet.ru/openforum/vsluhforumID3/80662.html#30 Thu, 06 Oct 2011 18:43:12 GMT &gt; Представляешь, не только nginx используют как реверсивный кэш-прокси (веб-акселератор). <br>&gt; И апач, и memcache, и Calipso - тысячи их.<br><br>Из апача конечно такой акселератор... <br> https://opennet.ru/openforum/vsluhforumID3/80662.html#29 Thu, 06 Oct 2011 17:55:00 GMT ... на другой стороне Луны :)<br> https://opennet.ru/openforum/vsluhforumID3/80662.html#28 Thu, 06 Oct 2011 16:46:01 GMT &gt;я еще года полтора назад в логах нечто подобное замечал а пясатели кодеры только только выпустили паТч<br><br>ну самому-то патч или баг запилить - серого вещества не достаточно, видимо. только на "ха ха ха" и хватает...<br> https://opennet.ru/openforum/vsluhforumID3/80662.html#26 Thu, 06 Oct 2011 14:22:43 GMT Заголовок - хоть сейчас в какой-нибудь псевдонаучно-фантастический сериал!<br>Попробуйте вслух прочитать!<br> https://opennet.ru/openforum/vsluhforumID3/80662.html#25 Thu, 06 Oct 2011 12:15:26 GMT и чего не зафайлил баг?<br>заметил - пости на багзиллу. чего ждать, пока другие заметят (не факт, что порядочные)<br>