The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Релиз http-сервера Apache 2.2.21

13.09.2011 10:03

Доступен корректирующий релиз http-сервера Apache 2.2.21 в котором устранена одна уязвимость и исправлено 8 ошибок. Исправленная проблема безопасности связана с особенностью обработки неподдерживаемых HTTP-методов в модулей mod_proxy_ajp, что может привести к DoS-атаке в конфигурациях, использующих mod_proxy_ajp в сочетании с mod_proxy_balancer.

Некоторые изменения:

  • Исправление регрессивного изменения, внесенного при устранении DoS-уязвимости в выпуске 2.2.20;
  • В mod_filter, вместо отбрасывания заголовка Accept-Ranges в ситуации запроса фильтра с наличием AP_FILTER_PROTO_NO_BYTERANGE, его значение теперь устанавливается в "none";
  • В mod_dav_fs устранен крах в случае, когда невозможно загрузить apr DBM-драйвер;
  • В mod_rewrite добавлена проверка корректности каждого внутреннего (int:) RewriteMap, даже если отключен RewriteEngine, что позволяет избежать краха при ссылках на несуществующий "int: map" в процессе работы;
  • Возможность указания в директиве MaxRanges значений none|unlimited|default и установки 'Accept-Ranges: none' в ситуации, когда игнорируется заголовок Ranges при указании "MaxRanges none".


  1. Главная ссылка к новости (http://www.apache.org/dist/htt...)
  2. OpenNews: Релиз http-сервера Apache 2.2.20 с устранением DoS-уязвимости
  3. OpenNews: Найден способ обхода методов защиты от DoS-уязвимости в HTTP-сервере Apache
  4. OpenNews: Легко эксплуатируемая DoS-уязвимость в HTTP-сервере Apache (дополнено)
  5. OpenNews: Выход Apache 2.3.11 ознаменовал переход ветки 2.3 на стадию бета-тестирования
Лицензия: CC-BY
Тип: Программы
Короткая ссылка: https://opennet.ru/31736-http
Ключевые слова: http, apache
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (28) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Анонимчик (?), 10:25, 13/09/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    Та самая? Которая апач клала вместе с сервером?
    Жаль. А то в логи глянеш какой-то хрен на ssh ломится из буржундии (самые упёртые арабы). Ответный скан показывает наличие апача (как правило). Фигак по нему скриптом. И тишина.
     
     
  • 2.2, Аноним (-), 10:49, 13/09/2011 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Почему бы не перевесить ssh на другой порт? Никто и ломиться не будет.
     
     
  • 3.4, анон (?), 11:26, 13/09/2011 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Лень в клиенте каждый раз другой порт указывать.
     
     
  • 4.5, jedie (?), 12:11, 13/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    открой для себя .ssh/config
     
     
  • 5.6, jedie (?), 12:11, 13/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > открой для себя .ssh/config

    а если не открывается )) нужно создать.

     
     
  • 6.7, Touch (??), 12:45, 13/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Угу а если для нескольких десятков хостов ещё веселее создаётся, правда можно... большой текст свёрнут, показать
     
     
  • 7.9, Alexander (??), 13:31, 13/09/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    откройте для себя denyhosts ;-)
     
     
  • 8.15, cmp (ok), 17:11, 13/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    мой ssh ломают преимущественно из кореи 85 , думал забанить ее, но неохота ра... текст свёрнут, показать
     
     
  • 9.17, AlexAT (ok), 17:14, 13/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Откройте для себя IPSet, и вместо 40 правил останется 1 ... текст свёрнут, показать
     
     
  • 10.18, cmp (ok), 17:56, 13/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    модем с бизибоксом таким премудростям не обучен, зато логи на удаленную машину п... текст свёрнут, показать
     
     
  • 11.22, XoRe (ok), 21:33, 13/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Может на одном модеме поменять ssh порт ... текст свёрнут, показать
     
  • 11.24, Аноним (-), 22:34, 13/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    А чего тут премудрого Достаточно более-менее свежего ведра ... текст свёрнут, показать
     
     
  • 12.27, cmp (ok), 07:08, 14/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    да в том и дело, нету свежего, прошивка 10года, а ведро 03 Глупости, убегать -... текст свёрнут, показать
     
     
  • 13.28, AlexAT (ok), 09:52, 14/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Отключайте файрвол, не бегите от проблем ... текст свёрнут, показать
     
     
  • 14.29, cmp (ok), 16:25, 14/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    необходимость и достаточность... текст свёрнут, показать
     
  • 5.20, szh (ok), 20:04, 13/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > открой для себя .ssh/config

    a лучше alias в .bashrc

     
  • 2.3, WhereWolf (?), 11:18, 13/09/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Порносайт админишь? :)
     
  • 2.13, Аноним (-), 15:22, 13/09/2011 [^] [^^] [^^^] [ответить]  
  • +6 +/
    > Жаль. А то в логи глянеш какой-то хрен на ssh ломится из

    А мне какой-то му... в аську наспамил. С рекламой своего г-носайта с подделками часов. Ну я ему и повысил посещаемость, как он и хотел.

     

  • 1.10, AlexAT (ok), 13:58, 13/09/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вперед паровоза? На сайте httpd.apache.org - тишина.
     
     
  • 2.11, AlexAT (ok), 14:18, 13/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Нет, конечно чейнджлоги есть, и файлы доступны - но раз релиз не анонсирован... вполне может быть отзыв - не торопитесь.
     
     
  • 3.12, Andrey Mitrofanov (?), 14:48, 13/09/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >вполне может быть отзыв

    Да, нееее... Сделают Фикс ошибки от исправления регрессивного изменения при устранении уязвимости, дадут ему ещё один +1 номер. Как обычно, то есть. Нет? $)

    > - не торопитесь.

    Куда? А! Пойду nginx пересоберу:

        *) Изменение: теперь, если суммарный размер всех диапазонов больше
           размера исходного ответа, то nginx возвращает только исходный ответ,
           не обрабатывая диапазоны.

        *) Добавление: директива max_ranges.

     
     
  • 4.14, Аноним (-), 15:24, 13/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Куда? А! Пойду nginx пересоберу:

    Так ему вроде и без этого было неплохо? Хотя хуже от пересборки разумеется не станет :)

     
  • 4.16, AlexAT (ok), 17:13, 13/09/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Куда? А! Пойду nginx пересоберу:
    >     *) Изменение: теперь, если суммарный размер всех диапазонов
    > больше
    >        размера исходного ответа, то nginx
    > возвращает только исходный ответ,
    >        не обрабатывая диапазоны.

    Хы. Т.е. nginx тоже был подвержен, просто никто не заметил...

     
     
  • 5.19, Аноним (-), 18:35, 13/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Хы. Т.е. nginx тоже был подвержен, просто никто не заметил...

    Потому что его от этого не клинило столь жестоко как апача ;). Во всяком случае, я каких-то внятных проблем с потреблением ресурсов нжинксом создать не смог. Хотя укрепление сервака лишним не бывает.

     
     
  • 6.26, AlexAT (ok), 00:21, 14/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Да легко. Заставляем сервак отдать 100500 копий одного мегабайтного файла одному клиенту. Повторяем это для 10-15 клиентов. нгинх не вклинит, а вот канал связи...
     
  • 5.23, XoRe (ok), 21:37, 13/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >> Куда? А! Пойду nginx пересоберу:
    >>     *) Изменение: теперь, если суммарный размер всех диапазонов
    >> больше
    >>        размера исходного ответа, то nginx
    >> возвращает только исходный ответ,
    >>        не обрабатывая диапазоны.
    > Хы. Т.е. nginx тоже был подвержен, просто никто не заметил...

    nginx'у пофиг.
    Но он передавал запрос дальше к apache, который и загибался.
    Теперь можно отсеивать попытки ddos.

     
  • 3.21, Анонимусбсдун321 (?), 21:33, 13/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Они еще в рассылку anounce забили писать - про .20 тоже не писали
    не пишут ничего про релизы
    в итоге про новости узнаю с лора
    непорядок блин
     
     
  • 4.25, Аноним (-), 22:36, 13/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > в итоге про новости узнаю с лора
    > непорядок блин

    ЛОР - это официальный сайт Apache Foundation. Они так прекрасно подходят друг к другу!

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру