The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Релиз http-сервера lighttpd 1.4.35 с устранением уязвимостей"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Релиз http-сервера lighttpd 1.4.35 с устранением уязвимостей"  +/
Сообщение от opennews (??) on 14-Мрт-14, 12:50 
Увидел свет (http://www.lighttpd.net/2014/3/12/1.4.35/) релиз легковесного http-сервера lighttpd 1.4.35 (http://www.lighttpd.net). Выпуск носит корректирующий характер и содержит около двадцати изменений. Отдельно отмечается устранение уязвимости (http://download.lighttpd.net/lighttpd/security/lighttpd_sa_2...), которая проявляется при использовании модуля mod_mysql_vhost и может привести к подстановке SQL-кода через передачу специально оформленного содержимого HTTP-заголовка "Host:" (например, "Host: [::1]' UNION SELECT '/") из-за некорректной проверки IPv6 адресов.

Уязвимость также присутствует в модулях mod_evhost и mod_simple_vhost и позволяет выйти за пределы текущей директории при указании ".." в пути, но проявляется только при наличии директорий с символами "[]", что делает уязвимость неприменимой на практике (например при наличии маски evhost.path-pattern = "/var/www/%0/" указание в поле "Host:" имени "[]/../../../" может привести к выходу за пределы /var/www/ при наличии директории /var/www/[]/).


Кроме уязвимостей в новом выпуске устранена порция выявленных в процесcе тестирования в scan.coverity.com проблем, связанных с некорректной работой с буферами, утечками памяти и обращением к уже освобождённым областям памяти.


URL: http://www.lighttpd.net/2014/3/12/1.4.35/
Новость: https://www.opennet.ru/opennews/art.shtml?num=39310

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Релиз http-сервера lighttpd 1.4.35 с устранением уязвимостей"  +2 +/
Сообщение от Аноним (??) on 14-Мрт-14, 12:50 
Стоит использовать вместо апача?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Релиз http-сервера lighttpd 1.4.35 с устранением уязвимостей"  –3 +/
Сообщение от RedRat (ok) on 14-Мрт-14, 13:24 
Только если используются CGI-скрипты. Во всех остальных случаях - nginx.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

15. "Релиз http-сервера lighttpd 1.4.35 с устранением уязвимостей"  +/
Сообщение от www2 (??) on 14-Мрт-14, 18:21 
А чотак? nginx не умеет CGI? Или Lighttpd не умеет чего-то, что умеет nginx?
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

16. "Релиз http-сервера lighttpd 1.4.35 с устранением уязвимостей"  +/
Сообщение от RedRat (ok) on 14-Мрт-14, 18:29 
> А чотак? nginx не умеет CGI? Или Lighttpd не умеет чего-то, что умеет nginx?

Да, nginx не умеет CGI. Впрочем, CGI сейчас мало где используется. Во всём остальном nginx не уступает или превосходит Lighttpd.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

22. "Релиз http-сервера lighttpd 1.4.35 с устранением уязвимостей"  +/
Сообщение от BratSinot (ok) on 14-Мрт-14, 21:45 
Дык тот-же PHP у них PHP-FPM, который чрез FastCGI.
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

23. "Релиз http-сервера lighttpd 1.4.35 с устранением уязвимостей"  +/
Сообщение от Аноним (??) on 15-Мрт-14, 20:21 
FastCGI != CGI
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

12. "Релиз http-сервера lighttpd 1.4.35 с устранением уязвимостей"  +/
Сообщение от Аноним (??) on 14-Мрт-14, 16:27 
> Стоит использовать вместо апача?

Нет. Используйте Apache.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

20. "Релиз http-сервера lighttpd 1.4.35 с устранением уязвимостей"  +/
Сообщение от Аноним (??) on 14-Мрт-14, 18:35 
> Нет. Используйте Apache.

...если денег на крЮтые серваки не жалко, особенно для сервировки статики.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

2. "Релиз http-сервера lighttpd 1.4.35 с устранением уязвимостей"  +/
Сообщение от Аноним (??) on 14-Мрт-14, 13:06 
Вместо апача у многих уже nginx.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Релиз http-сервера lighttpd 1.4.35 с устранением уязвимостей"  +1 +/
Сообщение от UNIm95 (ok) on 14-Мрт-14, 13:32 
nginx используют как балансирующий прокси для фермы апачей.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

9. "Релиз http-сервера lighttpd 1.4.35 с устранением уязвимостей"  +/
Сообщение от anonymous (??) on 14-Мрт-14, 15:54 
Если мод-перл, да. Все остальное проще с точки зрения конфигурирования и экономнее по потреблению памяти запускать через fastcgi/scgi/wsgi.

В последний раз живой апач видел в 2008-м году, щас уже и не вспомню, как его настраивать.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

11. "Релиз http-сервера lighttpd 1.4.35 с устранением уязвимостей"  +/
Сообщение от Аноним (??) on 14-Мрт-14, 16:27 
> не вспомню, как его настраивать

Может, твоя проблема была в этом?

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

18. "Релиз http-сервера lighttpd 1.4.35 с устранением уязвимостей"  –2 +/
Сообщение от Аноним (??) on 14-Мрт-14, 18:33 
> Может, твоя проблема была в этом?

Учитывая политику апача - они могут идти на йух. Нормально сервировать статику они можно считать что не умеют, конфигурация замороченная, на динамике тоже ничего интересного не демонстрируют. Зато бзики по всякой энтерпрайзятине на яве им мозг сожрали. Ну и ориентируются на энтерпрайзы с серверами по 128 гигз памяти и 64 ядрами. Если у вас не дай боже сервак слабее, его школьник с мобилки сможет уронить.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

25. "Релиз http-сервера lighttpd 1.4.35 с устранением уязвимостей"  +/
Сообщение от Аноним (??) on 15-Мрт-14, 20:26 
> Учитывая политику апача - они могут идти на йух.

Учитывая нежелание nginx поддерживать htaccess - они могут идти туда же.

> Если у вас не дай боже сервак слабее, его школьник с мобилки сможет уронить.

Для этого нужен не только слабый сервак, но убунтенок-эникей вместо админа (которые вообще не знает, что такое настройка параметров и нагрузочное тестирование).

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

26. "Релиз http-сервера lighttpd 1.4.35 с устранением уязвимостей"  +/
Сообщение от arisu (ok) on 15-Мрт-14, 20:32 
> Учитывая нежелание nginx поддерживать htaccess

не понимаю, какая проблема сделать себе эту чушь, если без неё никак оргазм не получается.

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

21. "Релиз http-сервера lighttpd 1.4.35 с устранением уязвимостей"  +/
Сообщение от anonymous (??) on 14-Мрт-14, 18:46 
Я немного утрировал, не понадобилось все это время ни разу, но в общих чертах помню (о, этот ад с Directory/Location, это незабываемо), хотя за это время, конечно, многое изменилось - видел издалека и офигел с числа модулей в дефолтной сборке современного апача.

Недавно вот имел дело (о ужас!) с windows server, вполне справился, хотя в последний раз его видел в 2003-м году. Поразился, что современные виндоадмины не знают даже базовых консольных виндовых команд, типа netsh и sc.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

24. "Релиз http-сервера lighttpd 1.4.35 с устранением уязвимостей"  +/
Сообщение от Аноним (??) on 15-Мрт-14, 20:24 
> (о, этот ад с Directory/Location, это незабываемо),

Насколько я помню, в этом nginx практически не отличается от apache.

> офигел с числа модулей в дефолтной сборке современного апача.

Это безусловный плюс апача - не надо делать кастомные пересборки на каждый чих.

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

28. "Релиз http-сервера lighttpd 1.4.35 с устранением уязвимостей"  +/
Сообщение от arisu (ok) on 15-Мрт-14, 20:33 
> не надо делать кастомные пересборки на каждый чих.

бедняга. я тебе сейчас радостную новость поведаю: сишный код давно уже не надо ручками в машинный переводить, это автоматизировали.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

10. "Релиз http-сервера lighttpd 1.4.35 с устранением уязвимостей"  +/
Сообщение от anonymous (??) on 14-Мрт-14, 15:56 
Всегда поражаюсь такому. Почему в подобных модулях (в том числе многих ftp и dns-серверах) не используют prepared statements? Это ведь намного выгоднее - один раз после соединения сделать prepare, а дальше долбить execute по уже распарсенному и спланированному запросу. Не говоря уж о безопасности.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "Релиз http-сервера lighttpd 1.4.35 с устранением уязвимостей"  +/
Сообщение от MPEG LA (ok) on 14-Мрт-14, 17:00 
индусы потому что
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

14. "Релиз http-сервера lighttpd 1.4.35 с устранением уязвимостей"  +/
Сообщение от arisu (ok) on 14-Мрт-14, 17:14 
в принципе, потому, что «мускульвхост» нафиг никому особо не упёрся. написали как получилось и забыли.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Слёрм
Inferno Solutions
Hosting by Ihor
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2019 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру