The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Релиз http-сервера Apache 2.4.6"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Релиз http-сервера Apache 2.4.6"  +/
Сообщение от opennews on 20-Июл-13, 22:40 
Доступен (http://www.apache.org/dist/httpd/Announcement2.4.html) релиз http-сервера Apache 2.4.6 (http://httpd.apache.org) в котором устранено 2 уязвимости и представлено 77 исправлений (http://www.apache.org/dist/httpd/CHANGES_2.4). Несмотря на то, что новая версия имеет корректирующий характер, в Apache 2.4.6 представлена достаточно большая порция улучшений. Выпуск Apache 2.4.5 был пропущен, так как  в процессе формирования релиза было выявлено регрессивное изменение, для исправления которого по горячим следам выпущен Apache 2.4.6.

Из изменений можно отметить:

-  Поддержка проксирования и туннелирования websocket-запросов. Добавлен модуль mod_proxy_wstunnel;
-  Значительное обновление модуля mod_lua. Обеспечена возможность создания фильтров контента на языке Lua (подключение через LuaInputFilter/LuaOutputFilter). Добавлена  директива LuaMapHandler для привязки  URL к скриптам-обработчикам на языке Lua  (маска URL может быть задана с использованием регулярных выражений). Добавлена директива LuaCodeCache для управления кэшированием кода Lua-скриптов в памяти.  Добавлены новые функции  r:htpassword(), r:mkdir(), r:mkrdir(),
     r:rmdir(), r:touch(), r:get_direntries(), r.date_parse_rfc(), обеспечен доступ к БД  apr_dbd/mod_dbd;


-  Новая высокопроизводительноая реализация кэширования в разделяемой памяти;
-  Включение в состав  модуля mod_macro, предназначенного для упрощения управления настройками через использование макросов в файле конфигурации;
-  Серия исправлений в mod_cache и mod_proxy, направленных на более точное следование рекомендациям RFC 2616;
-  Добавление в mod_auth_basic режима поддельной аутентификации, включаемого через директиву AuthBasicFake, которая позволяет  администратору задать отдельный логин и пароль для своих нужд;

-  В  mod_proxy добавлены опции BalancerInherit и ProxyPassInherit для управления наследованием параметров виртуального хоста в балансировщиках и обработчиках соединений;

-  В утилиту rotatelogs добавлена поддержка опции "-n" для организации ротации с использованием фиксированного числа архивных лог-файлов;
-  В утилиту htpasswd добавлена опция "-v" для проверки паролей.


Что касается устранённых проблем с безопасностью, то первая уязвимость (CVE-2013-1896) связана с некорректной обработкой запросов на слияние в mod_dav и может привести к краху серверного процесса при отправке злоумышленником специально оформленных MERGE-запросов. Вторая проблема безопасности (CVE-2013-2249) затрагивает модуль mod_session_dbd и связана с ненадлежащей сменой идентификатора сессии при смене сессии.

URL: http://www.apache.org/dist/httpd/Announcement2.4.html
Новость: https://www.opennet.ru/opennews/art.shtml?num=37468

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Релиз http-сервера Apache 2.4.6"  –6 +/
Сообщение от Вася_Петушкофф on 20-Июл-13, 22:40 
Использовал Апач в основном на Opencart/Joomla/WP ну и на всяких самопальных вэбмордах к разным сервисам; перешел на nginx. Интересно, в каких местах без Апача не обойтись?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Релиз http-сервера Apache 2.4.6"  +1 +/
Сообщение от AlexAT (ok) on 20-Июл-13, 22:41 
На шаредхостингах, нэ?
Еще - при работе с динамикой без специальной заточки под вебсерв.
Еще там, где нужна тесная интеграция со сторонними средами, тот же WebDAV или даже Tomcat как примеры.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

5. "Релиз http-сервера Apache 2.4.6"  –7 +/
Сообщение от Аноним (??) on 21-Июл-13, 01:05 
> На шаредхостингах, нэ?

Искренне желаю им лютейшей смерти :).

> Еще - при работе с динамикой без специальной заточки под вебсерв.

А какая специальная заточка нужна под нжинкс?  

> или даже Tomcat как примеры.

Tomcat такой сторонний для апача, конечно...

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

13. "Релиз http-сервера Apache 2.4.6"  +1 +/
Сообщение от toogen (ok) on 21-Июл-13, 06:45 
> А какая специальная заточка нужна под нжинкс?

конвертация .htaccess-файлов как минимум


Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

15. "Релиз http-сервера Apache 2.4.6"  +/
Сообщение от Аноним (??) on 21-Июл-13, 11:38 
да ну?

http://winginx.ru/htaccess
http://www.anilcetin.com/convert-apache-htaccess-to-nginx/

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

16. "Релиз http-сервера Apache 2.4.6"  +/
Сообщение от AlexAT (ok) on 21-Июл-13, 12:40 
> http://www.anilcetin.com/convert-apache-htaccess-to-nginx/

Будете каждому клиенту объяснять, как сконвертить, или будете по триггеру тащить настройки в конфиг?

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

30. "Релиз http-сервера Apache 2.4.6"  +/
Сообщение от toogen (ok) on 15-Авг-13, 03:38 
> http://winginx.ru/htaccess
> http://www.anilcetin.com/convert-apache-htaccess-to-nginx/

очень косячные, хотя и хорошие сервисы. допиливание напильником умопомрачает =)

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

14. "Релиз http-сервера Apache 2.4.6"  +/
Сообщение от AlexAT (ok) on 21-Июл-13, 08:59 
>> Еще - при работе с динамикой без специальной заточки под вебсерв.

Event-модель нгинха как бы не особо расположена к "длинным" приложениям (CGI).

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

31. "Релиз http-сервера Apache 2.4.6"  +/
Сообщение от Аноним (??) on 15-Авг-13, 05:32 
> Event-модель нгинха как бы не особо расположена к "длинным" приложениям (CGI).

CGI маздай. Совершенно дурной протокол эпохи царя гороха. Нормальный протокол - это фастцги, когда кто-то взялся за бошку и сделал это по человечески, а не как по первости с бодуна в голову пришло.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

27. "Релиз http-сервера Apache 2.4.6"  –1 +/
Сообщение от Fantomas (??) on 22-Июл-13, 19:54 
> Искренне желаю им лютейшей смерти :).

И что не так в шаредхостингах?
Отлично работают.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

32. "Релиз http-сервера Apache 2.4.6"  +/
Сообщение от Аноним (??) on 15-Авг-13, 05:33 
> Отлично работают.

Фантомас, где ваши очки и аэроплан?! Вот как-то так они и работают - фантомас в очках на аэроплане.

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

7. "Релиз http-сервера Apache 2.4.6"  –3 +/
Сообщение от vitalif (ok) on 21-Июл-13, 01:48 
Я пока только одну вещь знаю, которая без апача не работает - это mod_dav_svn. Другое дело, что а) в жопу mod_dav_svn - svnserve быстрее б) в жопу svn - git-то лучше.

И это - на шаредхостингах-то почему без апача не обойтись?

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

17. "Релиз http-сервера Apache 2.4.6"  +3 +/
Сообщение от Аноним (??) on 21-Июл-13, 12:46 
Постановка вопроса звучит так будто апач что то плохое, и прям позарез надо обойтись без него.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Релиз http-сервера Apache 2.4.6"  –3 +/
Сообщение от jOKer (ok) on 20-Июл-13, 23:33 
>mod_lua

Судя по тому что mod_wsgi "ис каропки" нет как нет, на луа сайтов куда больше чем на руби и питоне. Очаровательная логика, чо

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Релиз http-сервера Apache 2.4.6"  +/
Сообщение от Аноним (??) on 21-Июл-13, 00:15 
>Судя по тому что mod_wsgi "ис каропки" нет как нет, на луа сайтов куда больше чем на руби и питоне. Очаровательная логика, чо

Документацию к модулю (http://httpd.apache.org/docs/trunk/mod/mod_lua.html) слабо почитать? Этот модуль предназначен для расширения функционала сервера, а не написания веб-приложений.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

9. "Релиз http-сервера Apache 2.4.6"  –2 +/
Сообщение от jOKer (ok) on 21-Июл-13, 01:57 
Ога, и чем же это приведенный там хеллоу ворлд так существенно отличатся от cgi-шного скрипта на любом другом скриптовом ЯП? Тем что в поток луа пишет, а не иные прочие, да?
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

12. "Релиз http-сервера Apache 2.4.6"  +/
Сообщение от Аноним (??) on 21-Июл-13, 04:18 
> Summary
> This module allows the server to be extended with scripts written in the Lua programming

language. The extension points (hooks) available with mod_lua include many of the hooks available to natively compiled Apache HTTP Server modules, such as mapping requests to
files, generating dynamic responses, access control, authentication, and authorization

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

6. "Релиз http-сервера Apache 2.4.6"  –1 +/
Сообщение от Аноним (??) on 21-Июл-13, 01:06 
> Судя по тому что mod_wsgi "ис каропки" нет как нет,

И нжинкс на него забил. Бедные бидонисты, никто не хочет массово внедрять их кривульки.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

8. "Релиз http-сервера Apache 2.4.6"  +/
Сообщение от jOKer (ok) on 21-Июл-13, 01:49 
Толсто.

На самом деле на продакшене отлично работает и связка nginx+gunicorn. Причем поднимается эта связка за пять минут. Но бесит сам факт отсутствия нативного интерфейса.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

10. "Релиз http-сервера Apache 2.4.6"  +1 +/
Сообщение от ArRnorets on 21-Июл-13, 03:02 
> Толсто.
> На самом деле на продакшене отлично работает и связка nginx+gunicorn. Причем поднимается
> эта связка за пять минут. Но бесит сам факт отсутствия нативного
> интерфейса.

Unicorn же!!! А вообще, что касается конкретно Python, связка Nginx + uwsgi прекрасно работает, так что питонисты и тут не в обиде.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

18. "Релиз http-сервера Apache 2.4.6"  +/
Сообщение от бедный буратино (ok) on 22-Июл-13, 03:30 
> И нжинкс на него забил. Бедные бидонисты, никто не хочет массово внедрять их кривульки.

proxy_pass в коробке есть, и то хорошо. :)

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

19. "Релиз http-сервера Apache 2.4.6"  –1 +/
Сообщение от slowpoke on 22-Июл-13, 12:13 
чем apache лучше nginx?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

20. "Релиз http-сервера Apache 2.4.6"  –3 +/
Сообщение от AlexAT (ok) on 22-Июл-13, 12:14 
> чем apache лучше nginx?

1) модульностью
2) конфигурабельностью
3) числом разработчиков
4) универсальностью

nginx - узконишевая специфичная вещь, в основном для фронтендов хайлоудов. Встречаются и иные применения, встречаются извращения, но в целом - его назначение - именно проксировать трафик и отдавать статику.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

21. "Релиз http-сервера Apache 2.4.6"  –1 +/
Сообщение от slowpoke on 22-Июл-13, 12:59 
почему статику? у nginx есть fastcgi (жаль что чистого cgi нету) так что еще нужно?
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

22. "Релиз http-сервера Apache 2.4.6"  +/
Сообщение от AlexAT (ok) on 22-Июл-13, 13:01 
Костыль это... Даже fcgi способен внести достаточно длинный период ожидания в работу event-driven движка, который к таким фокусам не расположен. В PHP для event-driven движков сделали FPM, но мир на PHP не заканчивается.
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

24. "Релиз http-сервера Apache 2.4.6"  –1 +/
Сообщение от slowpoke on 22-Июл-13, 13:04 
в чем костыль? в том что у apache это libphp а тут через сокет идет общение с FPM или spawn php ? и что это сильно медленней? тесты есть какие то на этот счет?
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

25. "Релиз http-сервера Apache 2.4.6"  +1 +/
Сообщение от AlexAT (ok) on 22-Июл-13, 13:15 
> в чем костыль? в том что у apache это libphp а тут
> через сокет идет общение с FPM или spawn php ? и
> что это сильно медленней? тесты есть какие то на этот счет?

Тестов 2.4 mpm_event против нгинха (если оба завести например с FPM) пока не видел. У меня в практике используется и тот, и другой - нгинх как фронт, апач как сервер приложений. Надо как-нибудь собраться с мыслями и потестировать. В нашем случае разницы не особо - ибо основная нагрузка ложится на приложение, а не на обертку. У апача число разработчиков на порядки большее, поэтому выбираем апач как ядро.

Насчет костыля - кроме PHP/FPM/FCGI есть еще просто CGI - и вот их-то на нгинхе нормально уже не завести. Насчет mod_php и FPM - связка nginx<->FPM - лишний уровень отказа и конфигурирования. Не критично, но забывать про это не следует.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

26. "Релиз http-сервера Apache 2.4.6"  +/
Сообщение от Аноним (??) on 22-Июл-13, 13:24 
>> У апача число разработчиков на порядки большее, поэтому выбираем апач как ядро.

Число писателей костылей/хаков умножилось даже те что с времен netscape

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

33. "Релиз http-сервера Apache 2.4.6"  +/
Сообщение от Аноним (??) on 15-Авг-13, 05:35 
> Костыль это... Даже fcgi способен внести достаточно длинный период ожидания

И что там в машине состояний, телепающейся между обслуживанием сокетов ожидать то будет? Оно просто перекидывает данные по мене готовности. Чем и замечательно.

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

23. "Релиз http-сервера Apache 2.4.6"  –1 +/
Сообщение от slowpoke on 22-Июл-13, 13:02 
просто когда то я юзал apache да еще и как cgi, последние лет 5 я юзаю nginx как fastcgi и по конфигурабельности он мне больше нравится, но может я что то упускаю?
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

28. "Релиз http-сервера Apache 2.4.6"  –1 +/
Сообщение от Вонни on 22-Июл-13, 20:17 
>> 2) конфигурабельностью
>> 4) универсальностью

Ути пути ты наш путин

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

29. "Релиз http-сервера Apache 2.4.6"  +/
Сообщение от ra (??) on 23-Июл-13, 01:58 
что такого умеет nginx чего не умеет apache?

только не надо в пример приводить ржавые 486 на которых nginx якобы лучше работает.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

34. "Релиз http-сервера Apache 2.4.6"  +/
Сообщение от Аноним (??) on 15-Авг-13, 05:37 
> что такого умеет nginx чего не умеет apache?

Нормально работать. Даже на копеечных VPS/виртуалках/прочих облаках за $5/mo. Апачу с префорком это в принципе не грозит, а другие бэкэнды экспериментальные и являют собой запрыг по граблям.

Да и весьма мощную машину с апачем малейшая глупая атака HTTP флудом, которую может даже юзер нетбука на GPRS произвести - валит апача с префорком наповал. Так что почему-то все сайты которые подверглись подобным вещам очень оперативно начинают казать фронтэндом нжинкс, если сайт хоть какие-то копейки приносил. Потому что сайт стоящий колом от деятельности буквально одного нетбука на хилом канале - это совсем не прикольно.

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру