Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Критическая уязвимость в http-сервере Nginx, opennews (??), 15-Сен-09, (0) [смотреть все] Судя по патычу, надо в строке чего-то натыкать Index src http ngx_http_parse, pavlinux (ok), 03:00 , 15-Сен-09, (4) –1 вот и первые показатели того, что Nginx становится действительно очень популярн, dev (??), 09:02 , 15-Сен-09, (10) // Он уже года три как очень популярен Какой бы сайт ни выдал сообщение о том, что, Zenitur (?), 09:21 , 15-Сен-09, (12) +2 // Негативный показатель , ShU (??), 09:24 , 15-Сен-09, (14) –2 // Не обязательно Nginx-то работает, а бекенды к нему падают , Alexey (??), 10:01 , 15-Сен-09, (18) +2 Да, отсутствие ума - негативный показатель, даже очень А при наличии мозга - и , User294 (ok), 04:56 , 20-Сен-09, (54) кстати, да с другими лично мне не попадалось , vitek (??), 09:30 , 15-Сен-09, (15) –1 // А других не так уж и часто используют как лоад-балансеры, реверс-прокси и прочая, User294 (ok), 05:08 , 20-Сен-09, (55) И на Сысоева бывает проруха , Аноним (-), 09:05 , 15-Сен-09, (11) а недавний ботнет не эксплойт к этой дыре использовал там тоже нжинкс фигуриро, Аноним (-), 09:53 , 15-Сен-09, (17) // Нет Там и Linux фигурировал, из чего куча троллей сделала вывод, что виноват он, Dimez (??), 10:03 , 15-Сен-09, (20) +2 // тролей ли образ врага надо формировать и слухи для этого отлично подходят , vitek (??), 10:18 , 15-Сен-09, (21) // Именно троллей Никто из владельце серверов даже не сомневается, что у них экспл, Аноним (-), 11:10 , 15-Сен-09, (26) +2 вопрос с владельцами - понятен а вот вопрос с будущими владельцами клиентами - д, vitek (??), 11:16 , 15-Сен-09, (27) +1 скорее воркеры падать будут, чем левый код выполняться Изменения в nginx , hhg (ok), 10:02 , 15-Сен-09, (19) +1 // http www debian org security 2009 dsa-1884 An attacker can use this to execute, uldus (ok), 10:21 , 15-Сен-09, (22) +1 // _or_ possibly perform denial of service attacks by repeatedly crashing worker pr, _umka_ (??), 10:24 , 15-Сен-09, (23) +1 // Просто _пока_ нет готового эксплойта , Frank (??), 10:27 , 15-Сен-09, (24) +1 да и не будет обновление пройдёт быстро и никому незаметно , hhg (ok), 11:41 , 15-Сен-09, (29) Даже Сысоев пишет http www lexa ru nginx-ru msg27419 html Вероятность испол, Антон (??), 15:53 , 15-Сен-09, (36) обновился за 30 секунд , уть (?), 11:03 , 15-Сен-09, (25) +2 // аналогично обновление занимает не более минуты на всех серверах , hhg (ok), 11:37 , 15-Сен-09, (28) +1 // А что уже есть обновления для RHEL CentOS , Аноним (30), 12:05 , 15-Сен-09, (30) // собирать из сорца уже не модно , Дед Анон (?), 12:36 , 15-Сен-09, (32) у меня несколько десятков серверов Да, собирать из сорцов это не модно , Аноним (30), 12:46 , 15-Сен-09, (33) +4 Обновил на 10 разноплатформенных серверах за 20 минут Ждите апдейтов, ага , TS (?), 13:45 , 15-Сен-09, (35) свою rpm собрать не дано , роше (?), 20:26 , 15-Сен-09, (40) Помогите - не умею ASP Linux, Kirill (??), 08:53 , 16-Сен-09, (42) http www altlinux org SpecTips, секция Документы -- там есть ссылки и на фед, Michael Shigorin (ok), 13:54 , 16-Сен-09, (45) gt оверквотинг удален Спасибо А ASPLinux и ALTLinux схожи по структуре , Kirill (??), 21:44 , 16-Сен-09, (47) Не особенно IMHO в любом разе базовые навыки по сборке RPM более-менее переноси, Michael Shigorin (ok), 16:14 , 19-Сен-09, (51) Да - nginx эта не та программа, с обновлением которой могут быть проблемы Вот об, Dorlas (??), 12:21 , 15-Сен-09, (31) +2   // tiger notebook pkg_info -xI perlperl-threaded-5 10 1 Practical Extraction an, тигар (ok), 12:52 , 15-Сен-09, (34) +1   Не, это обычно с php-обновлениями такое бывает , Денис Юсупов (?), 12:49 , 16-Сен-09, (44)   // А попробуйте просто так на системе с Perl 5 8 8 и сотней p5-модулей сделать port, Dorlas (??), 12:25 , 17-Сен-09, (50)   А почему еще эксплойт в паблике не появился , Cyber (??), 17:13 , 15-Сен-09, (37) // да потомучто его нет как нет и большого смысла его делать какая радость воркер, hhg (ok), 17:31 , 15-Сен-09, (38) // Т е все Это типа крайне непродолжительный срок , Аноним (-), 19:40 , 15-Сен-09, (39) // Напомнить про другие дырки, которые не были открыты с 2001-го года Как Вы думае, sHaggY_caT (ok), 23:22 , 15-Сен-09, (41) ага даже до первой версии не дожила -D, hhg (ok), 12:33 , 16-Сен-09, (43) +1 Игорь говорит, что 1 х х -- стабильное API, а он API стабильным делать пока не х, any (??), 09:53 , 17-Сен-09, (49) Если Вы случайно работаете системным администратором, сильно рекомендую сменить , Michael Shigorin (ok), 14:21 , 16-Сен-09, (46) // Вижу Вы за пару минут уже написали сплойт для всех распространнённых BSD и linux, hhg (ok), 23:35 , 16-Сен-09, (48) +1 Ну вы иногда на milw0rm com и т п сайты захаживайте для приличия Так, для проф, User294 (ok), 04:51 , 20-Сен-09, (53) Согласен, daily рассылка самое занимательное чтиво с утренним кофе Бодрит - , hhg (ok), 01:54 , 23-Сен-09, (58) на самом деле довольно известный, но в узких кругах а 3proxy по моему знает лю, na (??), 20:57 , 24-Сен-09, (59) Где-то так ИМХО весьма приличный сайт по уязвимостям Не заметил что-то Хотя он, User294 (ok), 23:17 , 24-Сен-09, (60) http virtualserver ru http_dos py DoS , _SESSION (?), 03:43 , 20-Сен-09, (52) кстате, http_dos py не работает, баг даже не срабатывает нафиг такое выкладыват, Аноним (-), 00:43 , 04-Окт-09, (61) 4,10,11,17,19,25,31,37,52,61

Сообщения

[Сортировка по времени | RSS]

31. "Критическая уязвимость в http-сервере Nginx"	+2 +/–
Сообщение от Dorlas (??), 15-Сен-09, 12:21
Да - nginx эта не та программа, с обновлением которой могут быть проблемы. Вот обновлять тот же Perl с 5.8.8 до 5.8.9 при наличие 100-ни p5-модулей нужно аккуратно :)
Ответить | Правка | Наверх | Cообщить модератору

	34. "Критическая уязвимость в http-сервере Nginx"	+1 +/–
	Сообщение от тигар (ok), 15-Сен-09, 12:52
	[tiger@notebook]~%pkg_info -xI ^perl perl-threaded-5.10.1 Practical Extraction and Report Language [tiger@notebook]~%pkg_info -xI ^p5|wc -l      104 все нормально;( обновлял и машины с > 200 p5- без проблем
	Ответить | Правка | Наверх | Cообщить модератору

	44. "Критическая уязвимость в http-сервере Nginx"	+/–
	Сообщение от Денис Юсупов (?), 16-Сен-09, 12:49
	Не, это обычно с php-обновлениями такое бывает ;)
	Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

	50. "Критическая уязвимость в http-сервере Nginx"	+/–
	Сообщение от Dorlas (??), 17-Сен-09, 12:25
	>Не, это обычно с php-обновлениями такое бывает ;) А попробуйте просто так на системе с Perl 5.8.8 и сотней p5-модулей сделать portupgrade -rR perl И после попробуйте сделать: portupgrade -rR 'p5-*' Будете очень неприятно удивлены. PS: Штатный рекомендованный разработчиками Perl способ: man perl-after-update (такая же штука есть и у Python - python-update).
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема