Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Критическая уязвимость в http-сервере Nginx, opennews (??), 15-Сен-09, (0) [смотреть все] Судя по патычу, надо в строке чего-то натыкать Index src http ngx_http_parse, pavlinux (ok), 03:00 , 15-Сен-09, (4) –1 вот и первые показатели того, что Nginx становится действительно очень популярн, dev (??), 09:02 , 15-Сен-09, (10)   // Он уже года три как очень популярен Какой бы сайт ни выдал сообщение о том, что, Zenitur (?), 09:21 , 15-Сен-09, (12) +2   // Негативный показатель , ShU (??), 09:24 , 15-Сен-09, (14) –2   // Не обязательно Nginx-то работает, а бекенды к нему падают , Alexey (??), 10:01 , 15-Сен-09, (18) +2   Да, отсутствие ума - негативный показатель, даже очень А при наличии мозга - и , User294 (ok), 04:56 , 20-Сен-09, (54)   кстати, да с другими лично мне не попадалось , vitek (??), 09:30 , 15-Сен-09, (15) –1   // А других не так уж и часто используют как лоад-балансеры, реверс-прокси и прочая, User294 (ok), 05:08 , 20-Сен-09, (55)   И на Сысоева бывает проруха , Аноним (-), 09:05 , 15-Сен-09, (11) а недавний ботнет не эксплойт к этой дыре использовал там тоже нжинкс фигуриро, Аноним (-), 09:53 , 15-Сен-09, (17) // Нет Там и Linux фигурировал, из чего куча троллей сделала вывод, что виноват он, Dimez (??), 10:03 , 15-Сен-09, (20) +2 // тролей ли образ врага надо формировать и слухи для этого отлично подходят , vitek (??), 10:18 , 15-Сен-09, (21) // Именно троллей Никто из владельце серверов даже не сомневается, что у них экспл, Аноним (-), 11:10 , 15-Сен-09, (26) +2 вопрос с владельцами - понятен а вот вопрос с будущими владельцами клиентами - д, vitek (??), 11:16 , 15-Сен-09, (27) +1 скорее воркеры падать будут, чем левый код выполняться Изменения в nginx , hhg (ok), 10:02 , 15-Сен-09, (19) +1 // http www debian org security 2009 dsa-1884 An attacker can use this to execute, uldus (ok), 10:21 , 15-Сен-09, (22) +1 // _or_ possibly perform denial of service attacks by repeatedly crashing worker pr, _umka_ (??), 10:24 , 15-Сен-09, (23) +1 // Просто _пока_ нет готового эксплойта , Frank (??), 10:27 , 15-Сен-09, (24) +1 да и не будет обновление пройдёт быстро и никому незаметно , hhg (ok), 11:41 , 15-Сен-09, (29) Даже Сысоев пишет http www lexa ru nginx-ru msg27419 html Вероятность испол, Антон (??), 15:53 , 15-Сен-09, (36) обновился за 30 секунд , уть (?), 11:03 , 15-Сен-09, (25) +2 // аналогично обновление занимает не более минуты на всех серверах , hhg (ok), 11:37 , 15-Сен-09, (28) +1 // А что уже есть обновления для RHEL CentOS , Аноним (30), 12:05 , 15-Сен-09, (30) // собирать из сорца уже не модно , Дед Анон (?), 12:36 , 15-Сен-09, (32) у меня несколько десятков серверов Да, собирать из сорцов это не модно , Аноним (30), 12:46 , 15-Сен-09, (33) +4 Обновил на 10 разноплатформенных серверах за 20 минут Ждите апдейтов, ага , TS (?), 13:45 , 15-Сен-09, (35) свою rpm собрать не дано , роше (?), 20:26 , 15-Сен-09, (40) Помогите - не умею ASP Linux, Kirill (??), 08:53 , 16-Сен-09, (42) http www altlinux org SpecTips, секция Документы -- там есть ссылки и на фед, Michael Shigorin (ok), 13:54 , 16-Сен-09, (45) gt оверквотинг удален Спасибо А ASPLinux и ALTLinux схожи по структуре , Kirill (??), 21:44 , 16-Сен-09, (47) Не особенно IMHO в любом разе базовые навыки по сборке RPM более-менее переноси, Michael Shigorin (ok), 16:14 , 19-Сен-09, (51) Да - nginx эта не та программа, с обновлением которой могут быть проблемы Вот об, Dorlas (??), 12:21 , 15-Сен-09, (31) +2 // tiger notebook pkg_info -xI perlperl-threaded-5 10 1 Practical Extraction an, тигар (ok), 12:52 , 15-Сен-09, (34) +1 Не, это обычно с php-обновлениями такое бывает , Денис Юсупов (?), 12:49 , 16-Сен-09, (44) // А попробуйте просто так на системе с Perl 5 8 8 и сотней p5-модулей сделать port, Dorlas (??), 12:25 , 17-Сен-09, (50) А почему еще эксплойт в паблике не появился , Cyber (??), 17:13 , 15-Сен-09, (37) // да потомучто его нет как нет и большого смысла его делать какая радость воркер, hhg (ok), 17:31 , 15-Сен-09, (38) // Т е все Это типа крайне непродолжительный срок , Аноним (-), 19:40 , 15-Сен-09, (39) // Напомнить про другие дырки, которые не были открыты с 2001-го года Как Вы думае, sHaggY_caT (ok), 23:22 , 15-Сен-09, (41) ага даже до первой версии не дожила -D, hhg (ok), 12:33 , 16-Сен-09, (43) +1 Игорь говорит, что 1 х х -- стабильное API, а он API стабильным делать пока не х, any (??), 09:53 , 17-Сен-09, (49) Если Вы случайно работаете системным администратором, сильно рекомендую сменить , Michael Shigorin (ok), 14:21 , 16-Сен-09, (46) // Вижу Вы за пару минут уже написали сплойт для всех распространнённых BSD и linux, hhg (ok), 23:35 , 16-Сен-09, (48) +1 Ну вы иногда на milw0rm com и т п сайты захаживайте для приличия Так, для проф, User294 (ok), 04:51 , 20-Сен-09, (53) Согласен, daily рассылка самое занимательное чтиво с утренним кофе Бодрит - , hhg (ok), 01:54 , 23-Сен-09, (58) на самом деле довольно известный, но в узких кругах а 3proxy по моему знает лю, na (??), 20:57 , 24-Сен-09, (59) Где-то так ИМХО весьма приличный сайт по уязвимостям Не заметил что-то Хотя он, User294 (ok), 23:17 , 24-Сен-09, (60) http virtualserver ru http_dos py DoS , _SESSION (?), 03:43 , 20-Сен-09, (52) кстате, http_dos py не работает, баг даже не срабатывает нафиг такое выкладыват, Аноним (-), 00:43 , 04-Окт-09, (61) 4,10,11,17,19,25,31,37,52,61

Сообщения

[Сортировка по времени | RSS]

10. "Критическая уязвимость в http-сервере Nginx"	+/–
Сообщение от dev (??), 15-Сен-09, 09:02
вот и первые показатели того,  что Nginx становится действительно очень популярным :)
Ответить | Правка | Наверх | Cообщить модератору

	12. "Критическая уязвимость в http-сервере Nginx"	+2 +/–
	Сообщение от Zenitur (?), 15-Сен-09, 09:21
	Он уже года три как очень популярен. Какой бы сайт ни выдал сообщение о том, что он перегружен - везде приписка, nginx. Редко когда уже что-то другое.
	Ответить | Правка | Наверх | Cообщить модератору

	14. "Критическая уязвимость в http-сервере Nginx"	–2 +/–
	Сообщение от ShU (??), 15-Сен-09, 09:24
	Негативный показатель.
	Ответить | Правка | Наверх | Cообщить модератору

	18. "Критическая уязвимость в http-сервере Nginx"	+2 +/–
	Сообщение от Alexey (??), 15-Сен-09, 10:01
	Не обязательно. Nginx-то работает, а бекенды к нему падают.
	Ответить | Правка | Наверх | Cообщить модератору

	54. "Критическая уязвимость в http-сервере Nginx"	+/–
	Сообщение от User294 (ok), 20-Сен-09, 04:56
	>Негативный показатель. Да, отсутствие ума - негативный показатель, даже очень! А при наличии мозга - и ежу понятно что если нжинкс рисует сообщение - он при этом стало быть ЖИВОЙ. А сдох то как раз апп-сервер бывший за ним :D.Как то опач или кто там еще в этой роли был. О чем нжынкс и информирует. А что ему еще остается делать, если он всосал при попытке отдать запрос серверу приложений?
	Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

	15. "Критическая уязвимость в http-сервере Nginx"	–1 +/–
	Сообщение от vitek (??), 15-Сен-09, 09:30
	кстати, да. с другими лично мне не попадалось.
	Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

	55. "Критическая уязвимость в http-сервере Nginx"	+/–
	Сообщение от User294 (ok), 20-Сен-09, 05:08
	>кстати, да. >с другими лично мне не попадалось. А других не так уж и часто используют как лоад-балансеры, реверс-прокси и прочая перед апп-серверами. Вот и весь секрет, имхо. Например lighttpd (следующий по популярности легкий сервак способный выдерживать тысячи соединений без проблем для себя) в роли такого прокся - довольно дурно смотрится из-за того что у него логика работы такова что он кеширует ответы бэкэнда в RAM. Так что если вдруг ответом на запрос будет не дай боже iso-sized файл ... ну вы понимаете сколько тогда скушает оперативы лайти, да? Из-за этого свойства лайти, очевидно, не особо популярен как прокси перед апп-серверами. Остальных легких и шустрых в большом количестве (достойного внимания неткрафта например) - не замечено. Других легких и популярных способных быть проксей в балансирах и т.п. при адской нагрузке - эээ а они где? И главное - где сайты с ними? Ну или чью лэйбу вместо нжинксы вы хотите увидеть в качестве реверс-прокси сообщающего о безвременной кончине бэкэнда?
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема