The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Релиз http-сервера Apache 2.2.21"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Релиз http-сервера Apache 2.2.21"  +/
Сообщение от opennews on 13-Сен-11, 10:25 
Доступен (http://www.apache.org/dist/httpd/) корректирующий релиз http-сервера Apache 2.2.21 (http://httpd.apache.org/) в котором устранена одна уязвимость (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3348) и исправлено 8 ошибок (http://www.apache.org/dist/httpd/CHANGES_2.2.21). Связанные с уязвимостью детали пока не сообщаются, известно только, что проблема связана с особенностью обработки неподдерживаемых HTTP-методов в модулей mod_proxy_ajp.


Некоторые изменения:


-  Исправление регрессивного изменения, внесенного при устранении DoS-уязвимости в выпуске 2.2.20 (https://www.opennet.ru/opennews/art.shtml?num=31640);
-  В mod_filter вместо отбрасывания заголовка Accept-Ranges в ситуации запроса фильтра с наличием AP_FILTER_PROTO_NO_BYTERANGE его значение теперь устанавливается в "none";

-  В mod_dav_fs устранен крах в случае, когда невозможно загрузить apr DBM-драйвер;

-  В mod_rewrite добавлена проверка корректности каждого внутреннего (int:) RewriteMap, даж...

URL: http://www.apache.org/dist/httpd/
Новость: https://www.opennet.ru/opennews/art.shtml?num=31736

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Релиз http-сервера Apache 2.2.21"  +7 +/
Сообщение от Анонимчик on 13-Сен-11, 10:25 
Та самая? Которая апач клала вместе с сервером?
Жаль. А то в логи глянеш какой-то хрен на ssh ломится из буржундии (самые упёртые арабы). Ответный скан показывает наличие апача (как правило). Фигак по нему скриптом. И тишина.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Релиз http-сервера Apache 2.2.21"  –2 +/
Сообщение от Аноним (??) on 13-Сен-11, 10:49 
Почему бы не перевесить ssh на другой порт? Никто и ломиться не будет.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "Релиз http-сервера Apache 2.2.21"  –2 +/
Сообщение от анон on 13-Сен-11, 11:26 
Лень в клиенте каждый раз другой порт указывать.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "Релиз http-сервера Apache 2.2.21"  +/
Сообщение от jedie on 13-Сен-11, 12:11 
открой для себя .ssh/config
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Релиз http-сервера Apache 2.2.21"  +/
Сообщение от jedie on 13-Сен-11, 12:11 
> открой для себя .ssh/config

а если не открывается )) нужно создать.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Релиз http-сервера Apache 2.2.21"  +/
Сообщение от Touch (??) on 13-Сен-11, 12:45 
Угу .. а если для нескольких десятков хостов ещё веселее создаётся, правда можно скриптом, но тогда уж лучше вот этим:

#!/bin/bash                                                                                                                                                          
                                                                                                                                                                      
LOGFILE="/var/log/auth.log"                                                                                                                                          
HOSTSDENY="/etc/hosts.deny"                                                                                                                                          
BADCOUNT="5"                                                                                                                                                          
                                                                                                                                                                      
grep sshd $LOGFILE | grep "Invalid user" | grep -v MY.OWN.IP.ADDRESS | awk '{print $NF}' | sort | uniq -c | sort -n | sed "s/[[:space:]]*//" | \                        
  while read i                                                                                                                                                        
    do                                                                                                                                                                
        # read number of failed attempts                                                                                                                              
        count=`echo $i | cut -d" " -f1`                                                                                                                              
                                                                                                                                                                      
        # read ip address from failed attempt                                                                                                                        
        ip=`echo $i | cut -d" " -f2`                                                                                                                                  
                                                                                                                                                                      
        # check hostdeny file to see if IP already exist                                                                                                              
        already=`grep $ip $HOSTSDENY | grep sshd`

        # if IP does not exist add it to hostdeny file
        if [ -z "$already"  ]
        then
                if [ "$count" -ge "$BADCOUNT" ]
                then
                        echo "sshd: "$ip >> $HOSTSDENY
                fi
        fi
done

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

9. "Релиз http-сервера Apache 2.2.21"  –1 +/
Сообщение от Alexander (??) on 13-Сен-11, 13:31 
откройте для себя denyhosts ;-)
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

15. "Релиз http-сервера Apache 2.2.21"  +/
Сообщение от cmp (ok) on 13-Сен-11, 17:11 
мой ssh ломают преимущественно из кореи (~85%), думал забанить ее, но неохота расходовать кучу памяти на эту херню, бан через iptables по событию попадающему в лог с очисткой по смене ip, максимум 40+ правил было, копия списка на tmpfs, можно время бана задать, поправив скрипт. открой syslog-ng!
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

17. "Релиз http-сервера Apache 2.2.21"  +/
Сообщение от AlexAT (ok) on 13-Сен-11, 17:14 
>>> бан через iptables по событию попадающему в лог с очисткой по смене ip, максимум 40+ правил

Откройте для себя IPSet, и вместо 40+ правил останется 1.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

18. "Релиз http-сервера Apache 2.2.21"  +/
Сообщение от cmp (ok) on 13-Сен-11, 17:56 
модем с бизибоксом таким премудростям не обучен, зато логи на удаленную машину пишет, и команды по ssh выполняет исправно
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

22. "Релиз http-сервера Apache 2.2.21"  +/
Сообщение от XoRe (ok) on 13-Сен-11, 21:33 
> модем с бизибоксом таким премудростям не обучен, зато логи на удаленную машину
> пишет, и команды по ssh выполняет исправно

Может на одном модеме поменять ssh порт?

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

24. "Релиз http-сервера Apache 2.2.21"  +/
Сообщение от Аноним (??) on 13-Сен-11, 22:34 
> модем с бизибоксом таким премудростям не обучен

А чего тут премудрого? Достаточно более-менее свежего ведра.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

27. "Релиз http-сервера Apache 2.2.21"  +/
Сообщение от cmp (ok) on 14-Сен-11, 07:08 
да в том и дело, нету свежего, прошивка 10года, а ведро ~03.

> Может на одном модеме поменять ssh порт?

Глупости, убегать - проявлять трусость.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

28. "Релиз http-сервера Apache 2.2.21"  +/
Сообщение от AlexAT (ok) on 14-Сен-11, 09:52 
>> Может на одном модеме поменять ssh порт?
> Глупости, убегать - проявлять трусость.

Отключайте файрвол, не бегите от проблем.

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

29. "Релиз http-сервера Apache 2.2.21"  +/
Сообщение от cmp (ok) on 14-Сен-11, 16:25 
необходимость и достаточность
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

20. "Релиз http-сервера Apache 2.2.21"  +/
Сообщение от szh (ok) on 13-Сен-11, 20:04 
> открой для себя .ssh/config

a лучше alias в .bashrc

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

3. "Релиз http-сервера Apache 2.2.21"  –1 +/
Сообщение от WhereWolf on 13-Сен-11, 11:18 
Порносайт админишь? :)
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

13. "Релиз http-сервера Apache 2.2.21"  +6 +/
Сообщение от Аноним (??) on 13-Сен-11, 15:22 
> Жаль. А то в логи глянеш какой-то хрен на ssh ломится из

А мне какой-то му... в аську наспамил. С рекламой своего г-носайта с подделками часов. Ну я ему и повысил посещаемость, как он и хотел.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

10. "Релиз http-сервера Apache 2.2.21"  +/
Сообщение от AlexAT (ok) on 13-Сен-11, 13:58 
Вперед паровоза? На сайте httpd.apache.org - тишина.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Релиз http-сервера Apache 2.2.21"  +/
Сообщение от AlexAT (ok) on 13-Сен-11, 14:18 
Нет, конечно чейнджлоги есть, и файлы доступны - но раз релиз не анонсирован... вполне может быть отзыв - не торопитесь.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "Релиз http-сервера Apache 2.2.21"  –1 +/
Сообщение от Andrey Mitrofanov on 13-Сен-11, 14:48 
>вполне может быть отзыв

Да, нееее... Сделают Фикс ошибки от исправления регрессивного изменения при устранении уязвимости, дадут ему ещё один +1 номер. Как обычно, то есть. Нет? $)

> - не торопитесь.

Куда? А! Пойду nginx пересоберу:

    *) Изменение: теперь, если суммарный размер всех диапазонов больше
       размера исходного ответа, то nginx возвращает только исходный ответ,
       не обрабатывая диапазоны.

    *) Добавление: директива max_ranges.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

14. "Релиз http-сервера Apache 2.2.21"  +/
Сообщение от Аноним (??) on 13-Сен-11, 15:24 
> Куда? А! Пойду nginx пересоберу:

Так ему вроде и без этого было неплохо? Хотя хуже от пересборки разумеется не станет :)

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

16. "Релиз http-сервера Apache 2.2.21"  +1 +/
Сообщение от AlexAT (ok) on 13-Сен-11, 17:13 
> Куда? А! Пойду nginx пересоберу:
>     *) Изменение: теперь, если суммарный размер всех диапазонов
> больше
>        размера исходного ответа, то nginx
> возвращает только исходный ответ,
>        не обрабатывая диапазоны.

Хы. Т.е. nginx тоже был подвержен, просто никто не заметил...

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

19. "Релиз http-сервера Apache 2.2.21"  +/
Сообщение от Аноним (??) on 13-Сен-11, 18:35 
> Хы. Т.е. nginx тоже был подвержен, просто никто не заметил...

Потому что его от этого не клинило столь жестоко как апача ;). Во всяком случае, я каких-то внятных проблем с потреблением ресурсов нжинксом создать не смог. Хотя укрепление сервака лишним не бывает.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

26. "Релиз http-сервера Apache 2.2.21"  +/
Сообщение от AlexAT (ok) on 14-Сен-11, 00:21 
Да легко. Заставляем сервак отдать 100500 копий одного мегабайтного файла одному клиенту. Повторяем это для 10-15 клиентов. нгинх не вклинит, а вот канал связи...
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

23. "Релиз http-сервера Apache 2.2.21"  +/
Сообщение от XoRe (ok) on 13-Сен-11, 21:37 
>> Куда? А! Пойду nginx пересоберу:
>>     *) Изменение: теперь, если суммарный размер всех диапазонов
>> больше
>>        размера исходного ответа, то nginx
>> возвращает только исходный ответ,
>>        не обрабатывая диапазоны.
> Хы. Т.е. nginx тоже был подвержен, просто никто не заметил...

nginx'у пофиг.
Но он передавал запрос дальше к apache, который и загибался.
Теперь можно отсеивать попытки ddos.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

21. "Релиз http-сервера Apache 2.2.21"  +/
Сообщение от Анонимусбсдун321 on 13-Сен-11, 21:33 
Они еще в рассылку anounce забили писать - про .20 тоже не писали
не пишут ничего про релизы
в итоге про новости узнаю с лора
непорядок блин
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

25. "Релиз http-сервера Apache 2.2.21"  +/
Сообщение от Аноним (??) on 13-Сен-11, 22:36 
> в итоге про новости узнаю с лора
> непорядок блин

ЛОР - это официальный сайт Apache Foundation. Они так прекрасно подходят друг к другу!

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2020 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру