forum.opennet.ru

"Вышел nginx 1.4.1 с устранением уязвимости, приводящей к уда..."

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Подсказка: Для слежения за появлением новых сообщений в нити, нажмите "Проследить за развитием треда".

"Вышел nginx 1.4.1 с устранением уязвимости, приводящей к уда..."	+/–
Сообщение от opennews (??), 07-Май-13, 17:57
Представлен (http://mailman.nginx.org/pipermail/nginx-announce/2013/00011...) внеплановый стабильный выпуск http-сервера nginx 1.4.1 (http://nginx.org/#2013-05-07), а также первый выпуск новой экспериментальной ветки 1.5.0, в которых отмечается устранение уязвимости (http://mailman.nginx.org/pipermail/nginx-announce/2013/00011...) (CVE-2013-2028), которая может привести к перезаписи областей стека рабочего процесса при обработке специально оформленных chunked-запросов. При успешной эксплуатации не исключается возможность исполнения кода злоумышленника на сервере. Проблема проявляется только в выпусках nginx, начиная с версии 1.3.9. Прошлая стабильная ветка 1.2.x, которая ещё поставляется в большинстве дистрибутивов, уязвимости не подвержена. Для исправления проблемы можно использовать патч (http://nginx.org/download/patch.2013.chunked.txt). В качестве обходного пути защиты от проявления уязвимости, в каждом из блоков server{} можно использовать следующую конструкцию: <font color="#461b7e"> if ($http_transfer_encoding ~* chunked) { return 444; } </font> URL: http://mailman.nginx.org/pipermail/nginx-announce/2013/00011... Новость: https://www.opennet.ru/opennews/art.shtml?num=36875
Ответить \| Правка \| Cообщить модератору

Оглавление

Вышел nginx 1.4.1 с устранением уязвимости, приводящей к уда..., opennews, 07-Май-13, 17:57 [смотреть все]

это уже интересно , Аноним, 07-Май-13, 17:57 (1) //
- Без Игоря не какого контроля качества, быдл0 кодит , Аноним, 07-Май-13, 19:06 (17) //
  - 9679 Ошибки так же неисчерпаемы, как и атом 9679 Аксиома В любой программ, pavlinux, 07-Май-13, 20:56 (37)
- А говорят деньги не портят человека, но продукт все же гробят именно деньги и ту, Аноним, 07-Май-13, 19:23 (23)
Жаль разработчиков, столько трудились и в один момент капитально подорвана репут, Аноним, 07-Май-13, 18:04 (2) //
- Во-первых, не ошибается тот, кто ничего не делает А во-вторых, я думаю разработ, Аноним, 07-Май-13, 18:19 (3) //
  - в-третьих nginx далеко не оплот нерушимости и непогрешностиhttp nginx org en s, Sylvia, 07-Май-13, 18:31 (4) //
    - Это смотря как считать С версии 1 0 и старше major ов три -- из них один на spe, Andrew Kolchoogin, 07-Май-13, 19:57 (30)
  - А теперь представь, что в техническом плане все то же самое но фамилия разработч, Аноним, 07-Май-13, 18:39 (7) //
    - а почему бы и нет еще раз - не ошибается лишь тот, кто ничего не делает , ананис, 07-Май-13, 19:43 (28)
    - Что за фигню ты написал Дреппер высококласный специалист но не очень культурный, Аноним, 07-Май-13, 20:46 (35)
      - Типичный пример сугубо эмоциональной оценки По факту, они оба хорошие спецы в св, Аноним, 07-Май-13, 21:22 (39)
      - А высококлассного специалиста украшает дворовое воспитание или вообще его полное, Аноним, 08-Май-13, 16:40 (69)
        
        Высококлассный специалист - это тот, кто не занимается гуманитарным словоблудием, Led, 09-Май-13, 01:32 (74)
        В спорах часто побеждает не тот, кто прав, а тот, кто увереннее в своей правоте , www2, 09-Май-13, 13:56 (76)
        
        В спорах часто побеждает не тот, кто уверенней в своей правоте, а тот, у кого лу, Аноним, 10-Май-13, 17:27 (81)
        
        это Россия Как говорится - угадай страну Fixed , AlexAT, 10-Май-13, 22:21 (82)
- чем раньше ты поймёшь, что непогрешимого софта не было, нет и не будет, тем лучш, Клыкастый, 07-Май-13, 18:39 (6) //
  - Бывает софт, в котором регулярно находят крупные дыры например, proftpd , а быв, Аноним, 07-Май-13, 18:43 (8) //
    - не утрируй на тенденцию это вряд ли тянет но да, парни стали компанией, получи, Клыкастый, 07-Май-13, 18:54 (12)
      - Одна новость - да А вот если сходить по ссылке выше - вполне У proftpd тоже дал, Аноним, 07-Май-13, 18:56 (13)
        
        http www phpmyadmin net home_page security на тенденцию вот что тянет у nginx, Sylvia, 07-Май-13, 19:04 (15)
        
        кстати, в авторах CVE некая контора iSight это что, парни аудит заказали угу, Клыкастый, 07-Май-13, 19:11 (21)
        
        мне вот тоже кажется что заказали, в связи с http www securityfocus com archiv, Sylvia, 07-Май-13, 19:28 (26)
        
        Только стоит ещё учесть историю apache и lighttpd постарше, чем nginx Может бы, www2, 09-Май-13, 13:58 (77)
    - Где вы начитались про vsftpd Хорошая программа, но серебрянной пули не существу, JIghtuse, 07-Май-13, 20:18 (33)
      - Ты дурачёк Ты сам по своей ссылке ходил Два бага, оба DoS, один из которых тре, Аноним, 07-Май-13, 20:53 (36)
        
        Хуже - анимешник, Led, 08-Май-13, 05:36 (58)
        
        Чем тебе анимешники не угодили злобно, выгибая пальцы для вставки в глаза оппо, AlexAT, 08-Май-13, 07:34 (61)
        
        Анимешники - г вно , Аноним, 08-Май-13, 16:41 (70)
        
        вно - это ты, а анимешники - большое коммюнити От млада до велика , AlexAT, 08-Май-13, 17:57 (72)
        
        Ня , анон, 09-Май-13, 16:16 (79)
- Репутация портится не у тех, у кого находят уязвимости, а у тех, кто их подолгу , Аноним, 07-Май-13, 18:49 (10)
- Тогда я вам порекомендую в качестве HTTP-сервера программу Hello World , в ней, PyMonty, 07-Май-13, 19:58 (31) //
  - Да ладно Бывают спецы, которые и приветмир дырявый могут сделать , Аноним, 07-Май-13, 21:23 (40)
- на до же бы ло ска зать pure-ftpd, Аноним, 08-Май-13, 08:17 (63)
Не радует , Int, 07-Май-13, 18:59 (14)
Что ни говори, а код у nginx ужасный Ужасный код не может быть безопасным , Аноним, 07-Май-13, 19:56 (29) //
- Вы наверное PHP-шник Пример в студию Сорцы nginx одни из самых читабельных сре, PyMonty, 07-Май-13, 20:02 (32)
Собственно, весь обсуждаемый ngx_http_parse c написан упоротым оптимизатором, ко, mogila, 07-Май-13, 20:37 (34) //
- Сам ты мерзавец , Аноним, 07-Май-13, 21:01 (38)
- uint32_t хм в каком веке мы живем , Аноним, 07-Май-13, 22:41 (44) //
  - Не просто uint32_t, а uint32_t А в общем и целом - действительно, код упорот , AlexAT, 07-Май-13, 23:12 (45) //
    - AVX инструкции на процессорах от Intel могут сразу тремя переменными оперировать, Аноним, 07-Май-13, 23:22 (46)
      - http ru wikipedia org wiki AVX, Аноним, 07-Май-13, 23:22 (47)
      - Да, смысла городить оптимизационные велосипеды никакого , AlexAT, 07-Май-13, 23:47 (49)
        
        Ну, так огульно всё ж не стоит Смысл как был, так и есть, в определенных местах , Аноним, 08-Май-13, 05:18 (57)
        
        Так, как выше приведено - нет в принципе Согласен Но это задачи в основном для , AlexAT, 08-Май-13, 07:32 (60)
    - http pastebin com y6Tbj5pF, Аноним, 07-Май-13, 23:35 (48)
- Не в обиду, шко лот ой являются авторы лайти Они продо л б али шанс стать вторы, Аноним, 08-Май-13, 00:22 (50) //
  - ldd usr bin mc 124 grep glib libglib-2 0 so 0 lib i386-linux-gn, mogila, 08-Май-13, 00:47 (51) //
    - вместо mc используй mc-light, он вроде не тянет гнома, Аноним, 08-Май-13, 01:42 (53)
      - glib -- это не гном, чукчи , Michael Shigorin, 08-Май-13, 02:38 (55)
        
        Разрабатываемая в рамках и лежащая в основах проектов GTK и GNOME, GLib широко , Аноним, 08-Май-13, 04:21 (56)
        
        самого разного плана, необязательно gnome и даже gtk -- например, consolehelp, Michael Shigorin, 08-Май-13, 11:25 (64)
        
        то что оно родилось вместе с гномом никогда не отобьет у многих привкус гнома,, Sylvia, 08-Май-13, 17:50 (71)
      - ненене про mc-light vim-light уже наскакивали , Клыкастый, 08-Май-13, 12:21 (67)
  - Вот еще немного вебсерверов- Cherokee http cherokee-project com очень юзе, Аноним, 08-Май-13, 01:31 (52) //
    - Хороши Еще Appweb - но для разрабов ембедед Вообще nginx не уперся ни с как, 8887656, 08-Май-13, 12:19 (66)
  - Это говорит пользователь веб-сервера, у которого полторы недели назад появилась , www2, 09-Май-13, 14:10 (78) //
    - И файлики с плюсиком в имени там не чинили , Michael Shigorin, 13-Май-13, 15:51 (87)
Debian Apache Postgres - поездили, поездят и буду поездить нашу поездатую ро, pavlinux, 08-Май-13, 02:32 (54)
А знаете, что самое смешное http sysoev ru apache chunked htmlФактически такая, Anonymous000, 08-Май-13, 07:27 (59) //
- забавно http sysoev ru apache patch chunked txt, Аноним, 08-Май-13, 07:47 (62) //
  - Смешной патч Патчить надо было саму функцию, которая возвращает с какого-то пер, Dmitry, 11-Май-13, 21:47 (84) //
    - unsigned __int64, Аноним, 15-Май-13, 05:56 (88)
- Ага, только 11 лет назад , pavlinux, 10-Май-13, 15:55 (80)
- Да-да, тоже вспомнилось на даче , Michael Shigorin, 13-Май-13, 15:49 (86)
Зачастили как-то релизы nginx-а , Какаянахренразница, 22-Окт-22, 20:17 (89)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру