The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Обновление nginx 1.10.1 и 1.11.1 с устранением уязвимости

31.05.2016 20:22

Доступен выпуск основной ветки высокопроизводительного HTTP-сервера nginx 1.11.1 и стабильной ветки nginx 1.10.1, в которых устранена уязвимость (CVE-2016-4450), позволяющая инициировать крах рабочего процесса из-за разыменования нулевого указателя при записи во временный файл тела специально созданного запроса. Проблема проявляется начиная с выпуска 1.3.9. Патч для nginx с 1.9.13 по 1.11.0. Патч для nginx с 1.3.9 по 1.9.12.

  1. Главная ссылка к новости (http://mailman.nginx.org/piper...)
Автор новости: eRIC
Тип: Программы
Короткая ссылка: https://opennet.ru/44524-nginx
Ключевые слова: nginx
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (24) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Какаянахренразница (ok), 06:40, 01/06/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Зачастили как-то релизы nginx-а...
     
     
  • 2.2, Andrey Mitrofanov (?), 06:43, 01/06/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Зачастили как-то релизы nginx-а...

    Вам привет https://en.wikipedia.org/wiki/Release_early,_release_often от папы опенсура.

     
     
  • 3.3, Какаянахренразница (ok), 06:54, 01/06/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Спасибо. Папе тоже от нас привет. Мы его читали и уважаем.
    ----------------------
    А коммент по поводу nginx-a -- это выражение душевного смятения. Неспокойствия на сердце. Навязчивой пульсации в мозгу. Гнетущего состояния. Зудящей мысли.

    "Обновляться или ждать? Обновляться или ждать? Обнов... " Ну вы поняли.

     
     
  • 4.5, Ккк (?), 08:54, 01/06/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Не мучайтесь, у многих нжинкс вообще какой поставили, такой и стоит (у меня например 1.4.x) из реп убунцы, в моих предыдущих компаниях тоже как-то особо не парились вопросом обновлений, кроме того есть куда более интересный способ потратить время, чем думать обновляться или нет, да и обновление тож неособо интересное занятие само по себе
     
     
  • 5.12, Какаянахренразница (ok), 20:27, 01/06/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Не, мне на 1.4 никак нельзя. Разрабы nginx-а пилят хорошие фичи и пишут аппетитные чейнжлоги. Читаю и начинаю хотеть. Добавили SPDY? Надо попробовать! Добавили http/2? И мне надо!

    Вот так и мучаюсь.

     
     
  • 6.21, Аноним (-), 12:23, 03/06/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Дык пробовать надо на котятах а не на продакшене. ;)
     
     
  • 7.24, Какаянахренразница (ok), 09:54, 06/06/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Дык пробовать надо на котятах а не на продакшене. ;)

    Правильно. Но 1.4 -- всё равно не вариант :-)

     
  • 4.8, eRIC (ok), 11:51, 01/06/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    обновляетесь, тем более с обновлением nginx'а нет никаких проблем :)
     
     
  • 5.15, Аноним (-), 02:26, 02/06/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Кроме того что там периодически переделывают конфиг и старые конфиги работать перестают, очень наглядно показывая почему дистры ориентированные на продакшн очкуют подтягивать версии.
     
  • 5.25, Какаянахренразница (ok), 09:54, 06/06/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > обновляетесь, тем более с обновлением nginx'а нет никаких проблем :)

    Сцыкотно, сэр.

     
  • 4.10, й (?), 19:02, 01/06/2016 [^] [^^] [^^^] [ответить]  
  • +/
    в смысле? используйте stable-репу от nginx (сейчас это 1.10), если хотите stable. и авто-обновление из этой репы по крону.
     
     
  • 5.11, Какаянахренразница (ok), 20:24, 01/06/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Если мне не изменярт склероз, то в последний раз, когда я устанавливал nginx из их репы, у меня отвалился geoip.
     
     
  • 6.14, й (?), 23:05, 01/06/2016 [^] [^^] [^^^] [ответить]  
  • +/
    http://nginx.org/ru/docs/http/ngx_http_geoip_module.html
    > По умолчанию этот модуль не собирается, его сборку необходимо разрешить с помощью конфигурационного параметра --with-http_geoip_module.

    неудивительно.

     
     
  • 7.17, Какаянахренразница (ok), 06:37, 02/06/2016 [^] [^^] [^^^] [ответить]  
  • +/
    А я и не удивляюсь. Я просто не юзаю официальный репозиторий.
     
     
  • 8.19, й (?), 15:37, 02/06/2016 [^] [^^] [^^^] [ответить]  
  • +/
    кстати, этой проблемы уже нет http nginx org ru linux_packages html ... текст свёрнут, показать
     
     
  • 9.23, Какаянахренразница (ok), 09:50, 06/06/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Поскольку я в настоящий момент не юзаю офиц репозиторий, то тамошние проблемы м... текст свёрнут, показать
     
  • 6.20, Аноним (-), 01:49, 03/06/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Он не отвалился, а был вынесен в отдельный динамический модуль - как только эта поддержка появилась. Про это было написано... примерно везде.

    Или вы всегда сначала обновляетесь, а потом читаете changelog? :)

     
     
  • 7.22, Какаянахренразница (ok), 09:44, 06/06/2016 [^] [^^] [^^^] [ответить]  
  • +/
    У меня он именно "отвалился". Я юзал сборку из другой репы и оно было "искаропки". Потом решил попробовать офиц. репу -- обновился, ужаснулся и вернулся на launchpad.

    Да, можно было докопаться до причин, поставить недостающий пакет и завести пепелац. Но когда вебсервер встал колом, не особо есть желание искать причины. Пакет из другой репы работает -- ну и слава богу.

     

  • 1.4, ALex_hha (ok), 08:13, 01/06/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Думаю, все зависит от исправлений. Если это мелкие багфиксы, то не обязательно все бросать и сразу обновляться. Или исправления в модуле, который у вас вообще не используется. А если это ядро и базывае модули, да еще какой-нибудь RCE, то думаю вопрос снимается
     
  • 1.6, Аноним (-), 09:56, 01/06/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    вообще в бубунте обновляется автоматом и весьма неплохо.
     
     
  • 2.13, Какаянахренразница (ok), 20:31, 01/06/2016 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > вообще в бубунте обновляется автоматом и весьма неплохо.

    Как бы с таким обновлением не проснуться с автоматом у виска...

     

  • 1.9, й (?), 18:59, 01/06/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    ссылка классная:
    > wheezy (security), wheezy 1.2.1-2.2+wheezy4
    > [wheezy] - nginx <not-affected> (Introduced in 1.3.9)

    т.е. используйте протухший софт и вам будет счастье.

     
     
  • 2.16, Аноним (-), 02:29, 02/06/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > т.е. используйте протухший софт и вам будет счастье.

    Это до некоторой степени правда. Если ты возьмешь Win 3.11 или там полуось какую-нибудь и столь же свежий вебсервер, есть высокая вероятность что ни один хакер вообще не вспомнит как это ломать. Если у тебя есть что-то сильно интересное, тебя это не спасет, но все-таки.

     
  • 2.18, Andrey Mitrofanov (?), 07:36, 02/06/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > т.е. используйте протухший софт и вам будет счастье.

    Не, не так. Не используйте дрист-релизы и не страдайте по маркетинговым бусам.

    И не будет так мучительно. Как Вам и "активисту" из #1...

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру