The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Ещё одна уязвимость в Apache httpd, позволяющая обратиться за пределы корневого каталога"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Ещё одна уязвимость в Apache httpd, позволяющая обратиться за пределы корневого каталога"  +/
Сообщение от opennews (??), 08-Окт-21, 08:52 
Найден новый вектор атаки на http-сервер Apache, который остался неисправленным в обновлении 2.4.50 и позволяет  получить доступ к файлам из областей вне корневого каталога сайта. Кроме того, исследователями найден способ, позволяющий при наличии определённых нестандартных настроек не только прочитать системные файлы, но и удалённо выполнить свой код на сервере. Проблема проявляется только в выпусках 2.4.49 и 2.4.50,  более ранние версии уязвимости не подвержены. Для устранения нового варианта уязвимости оперативно сформирован выпуск Apache httpd 2.4.51...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=55939

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."  +4 +/
Сообщение от Qwerty (??), 08-Окт-21, 08:52 
недоработали ребята, ну ничего, исправили
Ответить | Правка | Наверх | Cообщить модератору

2. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."  +16 +/
Сообщение от Аноним (2), 08-Окт-21, 08:54 
Экстремальное программирование - отладка на пользователях. Типа актуальный метод разработки.
Ответить | Правка | Наверх | Cообщить модератору

5. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."  +1 +/
Сообщение от Qwerty (??), 08-Окт-21, 09:04 
а я думал что ЭП это когда ты одной рукой кодишь на ноуте, а другой противостоишь ватаге ниндзя аки старина Брюс Ли

или там прыгаешь с парашютом и кодишь

или... не так что ли?

Ответить | Правка | Наверх | Cообщить модератору

17. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."  +3 +/
Сообщение от Аноним (17), 08-Окт-21, 10:31 
Экстремальное программирование - это про test-driven development. Отладка на пользователях - это экстремистское программирование ;)
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

37. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."  –2 +/
Сообщение от kissmyass (?), 08-Окт-21, 17:59 
и то, и другое разновидность Lox Driven Development
Ответить | Правка | Наверх | Cообщить модератору

53. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."  +/
Сообщение от Аноним (53), 08-Окт-21, 23:32 
И должно быть запрещено в России :)
Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

70. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."  +/
Сообщение от Anon2 (?), 09-Окт-21, 09:26 
И в следствии Apache httpd будет защищен от всех уязвимостей законодательством РФ. Го в ЭП
Ответить | Правка | Наверх | Cообщить модератору

20. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."  –1 +/
Сообщение от Sw00p aka Jerom (?), 08-Окт-21, 10:54 
CI
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

67. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."  +/
Сообщение от KT315 (ok), 09-Окт-21, 09:13 
Сейчас походу все так разрабатывается и в "продакшон". Что телефоны, что машины... Главное покрыть тест кейсами и найти баги, которые могут посадить на кукан. Остальное рутина и удовольствие от процесса :)
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

3. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."  +7 +/
Сообщение от Аноним (2), 08-Окт-21, 08:55 
Не страшно. В прдакшн не ставят

> непрерывно обновляемые дистрибутивы

Ответить | Правка | Наверх | Cообщить модератору

9. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."  +1 +/
Сообщение от Онаним (?), 08-Окт-21, 09:30 
Ну, bleeding edge на то и bleeding edge.
Вменяемые на таковом сидящие прекрасно это понимают.
А вот сидящие от фанатизма - не всегда, поэтому как обычно вопли и сопли.
Ответить | Правка | Наверх | Cообщить модератору

10. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."  +/
Сообщение от Онаним (?), 08-Окт-21, 09:32 
Я с этими переплясками включил ждуна, и пожалуй ещё пару месяцев выжду - и далее либо накачу 51, либо 52 или чего там уже будет, если changelog устроит, либо ещё подожду :D
Ответить | Правка | Наверх | Cообщить модератору

16. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."  –2 +/
Сообщение от Аноним (16), 08-Окт-21, 10:24 
Что вы хотели сказать вот этой фразой?
> bleeding edge
Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

39. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."  +1 +/
Сообщение от Ordu (ok), 08-Окт-21, 18:50 
Предположу, что фразой "bleeding edge" он хотел сказать "bleeding edge".
Ответить | Правка | Наверх | Cообщить модератору

76. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."  +1 +/
Сообщение от Онаним (?), 09-Окт-21, 11:06 
Абсолютно так.
Говоря "bleeding edge", я имел в виду именно "bleeding edge", не подразумевающее ничего кроме "bleeding edge".
Ответить | Правка | Наверх | Cообщить модератору

4. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."  +2 +/
Сообщение от Аноним (4), 08-Окт-21, 09:01 
позорище
Ответить | Правка | Наверх | Cообщить модератору

6. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."  +1 +/
Сообщение от Ананоним (?), 08-Окт-21, 09:05 
Шо, опять???
Ответить | Правка | Наверх | Cообщить модератору

7. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."  +4 +/
Сообщение от Аноним (7), 08-Окт-21, 09:11 
> была заблокирована возможность использования последовательности "%2e" для кодирования точки...
> но упущена возможность двойного кодирования...

А потом тройного, четверного... Не кажется ли, что они не на том конце проверку делают?

Ответить | Правка | Наверх | Cообщить модератору

41. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."  +4 +/
Сообщение от пох. (?), 08-Окт-21, 19:16 
Кажется. Херачь молнией, Г-ди, не осталось тут праведников.

Уж если в разработчики апача понабрали подобных макак, которым даже предыдущий факап не подсказал что надо делать проверки после декодирования, нормализации и что там еще предполагается перед обращением к файловой системе, а не в процессе.

Отдельный вопрос - а зачем они делают двойное декодирование и не надо ли в этом месте вернуть то, что у nginx называется 444 - захлопнуть сессию без объяснений и записать в лог про попытку хакинга. Поскольку никаких легитимных применений подобной бредятине не просматривается, а кому очень-очень надо - пусть себе двойное и десятерное декодирование вручную разрешает и уже потом не плачет о последствиях.

Ответить | Правка | Наверх | Cообщить модератору

57. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."  +1 +/
Сообщение от Аноним (57), 09-Окт-21, 00:40 
Макак туда понабрали еще во времена разработки ветки 2. В 1.3 все было аккуратно и с пониманием дела. А из второго те же race conditions на stat-ы вычищали долго и мучительно. Ну потому что внезапно разработчики веб-сервера не понимают, что он работает в многозадачной среде.
Ответить | Правка | Наверх | Cообщить модератору

81. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."  +/
Сообщение от пох. (?), 09-Окт-21, 12:29 
Ну, там разно было - достаточно вспомнить, что вызвало появление 1.3.26 (правда, потом на те же грабли со всего разбега наделся nginx)

И точно такой же насквозь гнилой mod_proxy (вообще не понимаю, кто им мог пользоваться и для чего) как и по сей день (думаю, потому что никто им и не пользуется с тех пор)

Это помимо родовых травм с lingering sockets, кстати, принесенных тогда входившим в моду http/1.1

А в 2.0 ради винды и "упрощения модулей" да, попереломали вообще все подряд. Но к 2.2 почти все уже встало на свои места, снова стало можно пользоваться, подложив соломку где надо.

Ответить | Правка | Наверх | Cообщить модератору

86. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."  +/
Сообщение от Аноним (57), 09-Окт-21, 14:26 
Ох, пляски вокруг lingering sockets - это вообще следствие родовой травмы http.
С аплоадом вроде как придумали 100 Continue, но ни один браузер так и не поддерживает до сих пор.
Ответить | Правка | Наверх | Cообщить модератору

87. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."  +/
Сообщение от Аноним (57), 09-Окт-21, 14:29 
> к 2.2 почти все уже встало на свои места

Возможно. К 2.2 я уже полностью перелез на nginx. В принципе, сменил одни грабли на другие, да, но там хотя бы код куда менее объемный (был), и логику одного разработчика куда проще понять, чем логику десятков.

Ответить | Правка | К родителю #81 | Наверх | Cообщить модератору

89. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."  +/
Сообщение от john_erohin (?), 10-Окт-21, 17:25 
> зачем они делают двойное декодирование

если клиент сидит за семью проксями, то придется делать
и восьмипроходное декодирование (нормализацию).
в общем случае, пока предыдущий_результат != новый_результат.

Ответить | Правка | К родителю #41 | Наверх | Cообщить модератору

91. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."  +/
Сообщение от пох. (?), 12-Окт-21, 07:48 
вот прокси пусть и делает. Никто тебе не гарантирует что урл ../../что-то вообще допустим на этом сайте - даже если в принципе путь такой есть и находится внутри дерева сайта.

Это не файловая система.

Если прокси вместо правильного урла нафантазировал билиберду - пусть пользователь его и чинит себе.

Ответить | Правка | Наверх | Cообщить модератору

8. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."  +5 +/
Сообщение от Онаним (?), 08-Окт-21, 09:29 
Эээээ, а с хрена ли оно делает двойное декодирование.
Кого вообще к эскейпингу подпустили в этот раз-то?
Ответить | Правка | Наверх | Cообщить модератору

11. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."  +2 +/
Сообщение от Аноним (11), 08-Окт-21, 09:37 
Двойные стандарты
Ответить | Правка | Наверх | Cообщить модератору

62. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."  –1 +/
Сообщение от Аноним (62), 09-Окт-21, 03:53 
Этих, как их... эсджевешников.
Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

12. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."  –1 +/
Сообщение от Аноним (12), 08-Окт-21, 09:45 
Так и придется переделать себе работающий-ничего-не-трогай сайт с версии PHP 7.0 на ту, что в Debian 11. А так не интересно, т.к. я уже Гофер, и апачи не нужны.
Ответить | Правка | Наверх | Cообщить модератору

14. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."  +1 +/
Сообщение от Аноним (14), 08-Окт-21, 10:01 
> …но упущена возможность двойного кодирования - при указании последовательности "%%32%65" сервер декодировал её в "%2e", а затем в ".", т.е. символы "../" для перехода в предыдущий каталог можно было закодировать как ".%%32%65/".

Может всё-таки в тёмное место этот percent encoding пора, а? Юникот на дворе.

Ответить | Правка | Наверх | Cообщить модератору

30. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."  +/
Сообщение от burjui (ok), 08-Окт-21, 12:39 
*deleted*
Ответить | Правка | Наверх | Cообщить модератору

31. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."  +1 +/
Сообщение от burjui (ok), 08-Окт-21, 12:40 
Вообще, конечно, пора, но это не отменяет того факта, что код декодирования писал слишком умный для самого себя человек.
Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

15. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."  –1 +/
Сообщение от InuYasha (??), 08-Окт-21, 10:07 
Дежа вю. И снова Debian to the rescue )
Ответить | Правка | Наверх | Cообщить модератору

18. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."  –1 +/
Сообщение от Рейка Сметанова (ok), 08-Окт-21, 10:40 
Надо было юзатб nginx
Ответить | Правка | Наверх | Cообщить модератору

21. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."  +/
Сообщение от Аноним (21), 08-Окт-21, 10:59 
Не nginx, а thttpd.
Ответить | Правка | Наверх | Cообщить модератору

27. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."  –1 +/
Сообщение от Аноним (27), 08-Окт-21, 11:55 
Чем он лучше?
Ответить | Правка | Наверх | Cообщить модератору

29. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."  –5 +/
Сообщение от Qwerty (??), 08-Окт-21, 12:25 
да
Ответить | Правка | Наверх | Cообщить модератору

38. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."  +/
Сообщение от OpenEcho (?), 08-Окт-21, 18:38 
> Не nginx, а thttpd.

Да чё мелочиться, надо использовать то, что под рукой: busybox httpd

Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

19. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."  –1 +/
Сообщение от Аноним (19), 08-Окт-21, 10:51 
Все же пора на rust!
Ответить | Правка | Наверх | Cообщить модератору

22. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."  –2 +/
Сообщение от Аноним (21), 08-Окт-21, 11:02 
Не на Rust, а на Elm.
Ответить | Правка | Наверх | Cообщить модератору

23. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."  –2 +/
Сообщение от Аноним (19), 08-Окт-21, 11:09 
Хрен редьки не слаще)
Ответить | Правка | Наверх | Cообщить модератору

26. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."  –1 +/
Сообщение от Аноним (21), 08-Окт-21, 11:39 
https://github.com/marceloboeira/rust-elm
Ответить | Правка | Наверх | Cообщить модератору

28. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."  +/
Сообщение от Аноним (19), 08-Окт-21, 12:23 
Ммм еще и с докером! Нямка. Предлагают назвать переписанный продукт не апач, а срач. Ну чтоб луддитам поднагадить таким макаром.
Ответить | Правка | Наверх | Cообщить модератору

43. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."  +2 +/
Сообщение от пох. (?), 08-Окт-21, 19:23 
with multistage(!) docker build, а не хрен собачий!


Впопачь. Что отражает ориентацию типичных разработчиков подобного. Причем в самом плохом смысле.


Ответить | Правка | Наверх | Cообщить модератору

50. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."  –1 +/
Сообщение от Аноним (50), 08-Окт-21, 20:49 
Вы такой злой потому, что лысый?
Ответить | Правка | Наверх | Cообщить модератору

56. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."  +/
Сообщение от Аноним (19), 09-Окт-21, 00:21 
Он зол, но справедлив. В наше время без этого никак.
Ответить | Правка | К родителю #43 | Наверх | Cообщить модератору

75. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."  +/
Сообщение от Аноним (21), 09-Окт-21, 10:26 
А в чём смысл этой "справедливости" поха?
Ответить | Правка | Наверх | Cообщить модератору

34. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."  –1 +/
Сообщение от Terraforming (ok), 08-Окт-21, 15:32 
Не на раст а просто запускать в докере.
Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

55. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."  +1 +/
Сообщение от Alladin (?), 08-Окт-21, 23:50 
А докер в докере с докером добавив докер спросив о докере.
Ответить | Правка | Наверх | Cообщить модератору

63. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."  –2 +/
Сообщение от Terraforming (ok), 09-Окт-21, 04:14 
> А докер в докере с докером добавив докер спросив о докере.

Docker это старый добрый chroot только лучше. Apache еще в 2002 запускали в chroot чтобы не было доступа к системным файлам.

Ответить | Правка | Наверх | Cообщить модератору

69. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."  +/
Сообщение от пох. (?), 09-Окт-21, 09:24 
> Docker это старый добрый chroot только лучше.

чем лучше - чем грузины!

https://www.cvedetails.com/product/28125/Docker-Docker.html?...

в старом добром chroot не было хотя бы "code execution".


> Apache еще в 2002 запускали в chroot чтобы не было доступа к системным файлам.

у кого руки росли из жопы и голова тоже в жопе, безусловно, так и делали.

Остальные прекрасно понимали, что на машине с апачем основные "системные файлы" лежат в /home/www и все остальное после этого уже ломаного гроша не стоит.

Ответить | Правка | Наверх | Cообщить модератору

54. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."  +/
Сообщение от Alladin (?), 08-Окт-21, 23:49 
Согласен, такую халтуру с путями сделать это смешно.

Я не осведомлен какие апи использовали в апаче, но в раст std с определением относительности путей с разными кодировочными символами все ок.

Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

61. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."  +1 +/
Сообщение от Аноним (61), 09-Окт-21, 03:20 
Если rust локальные файлы открывает с перекодировкой из url encoding то у меня для тебя плохие новости.
Ответить | Правка | Наверх | Cообщить модератору

32. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."  –1 +/
Сообщение от Аноним (-), 08-Окт-21, 12:53 
Два релиза в неделю !
Вот что Раст от-контроля-отучающий делать может!
Ответить | Правка | Наверх | Cообщить модератору

33. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."  +/
Сообщение от Аноним (19), 08-Окт-21, 13:32 
С 28 сентября ажно 3.
Вот и уровень современных сишников. Под деградацию протащат и раст, ибо так им проще. А прикроются "луддитами". Все старо, как мир.
Ответить | Правка | Наверх | Cообщить модератору

35. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."  +1 +/
Сообщение от BorichL (ok), 08-Окт-21, 15:51 
Дык раст изначально под деградатов делали.
Ответить | Правка | Наверх | Cообщить модератору

36. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."  –1 +/
Сообщение от Аноним (19), 08-Окт-21, 16:14 
Правильно. Которые в си осилили так, как есть. На примере сабжа даже видно.
Но чтобы убедить в нужности перехода на новое, нужно сперва дискредитировать старое. Что мы и наблюдаем, утирая скупую мужскую слезу.
Ответить | Правка | Наверх | Cообщить модератору

42. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."  +/
Сообщение от пох. (?), 08-Окт-21, 19:22 
> Проблема проявляется только в выпусках 2.4.49 и 2.4.50,

так что со старым все в общем хорошо.

Остается расслабиться и подождать еще одно поколение апачеписак. Пережили мы 2.0 с невменяйками, захотевшими винды и "упрощения разработки модулей" (в результате по сути угробив 3d party модули вообще, доупрощались). К версии 2.2 они все отправились улучшайкать что-то еще, или руководителями заделались, и стало снова можно пользоваться.

Ответить | Правка | Наверх | Cообщить модератору

44. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."  +/
Сообщение от Аноним (19), 08-Окт-21, 19:55 
Так то оно так, но не забываем о 28 сентября.

https://www.vuxml.org/freebsd/882a38f9-17dd-11ec-b335-d4c9ef...


Многовато для 10 дней.

Ответить | Правка | Наверх | Cообщить модератору

45. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."  +/
Сообщение от Аноним (19), 08-Окт-21, 20:02 
Или от 23 сентября

https://www.cvedetails.com/cve/CVE-2021-40146/

Ответить | Правка | Наверх | Cообщить модератору

46. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."  –1 +/
Сообщение от Аноним (19), 08-Окт-21, 20:03 
Сам не юзаю папач года полтора. Смотрю на все и понимаю, вовремя срулил.
Ответить | Правка | Наверх | Cообщить модератору

49. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."  +/
Сообщение от пох. (?), 08-Окт-21, 20:26 
это не имеет ни малейшего отношения к httpd. Уровень впопеннета, чо.

Ответить | Правка | К родителю #45 | Наверх | Cообщить модератору

51. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."  +/
Сообщение от Аноним (19), 08-Окт-21, 22:22 
Соряю, мой косяк. Не тот линк спастился

https://www.cvedetails.com/vulnerability-list/vendor_id-45/p...

4 cve за сентябрь.

Ответить | Правка | Наверх | Cообщить модератору

68. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."  +/
Сообщение от пох. (?), 09-Окт-21, 09:18 
Ну а если не копипастить а еще и читать - там большая часть проблем традиционно в mod_proxy (которым пользоваться нельзя и это табу еще времен апача 1.3), моднявом http/2-3-4-5, общие для всех прожектов потащивших это ненужное ненужно в свой код, несуществующих модулях с несуществующими глюками и тому подобная ересь.

А серьезная проблема ровно одна и та сомнительной опасности.

Так что особой проблемы еще лет десять пользоваться апачем полугодичной давности вряд ли предвидится.

А там либо шах, либо ишак, либо сам Ходжа... либо гибель цивилизации и уже больше будут цениться умения пригибаться и стрелять чем всякая ненужная фигня. Насреддину-то, походу, больше свезло с эпохой.

Ответить | Правка | Наверх | Cообщить модератору

72. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."  +/
Сообщение от Аноним (19), 09-Окт-21, 10:09 
>Ну а если не копипастить а еще и читать - там большая часть проблем традиционно
>А серьезная проблема ровно одна и та сомнительной опасности.

Почему ты считаешь, что если культура производства этого мода такая, то в остальном все карашо?
Просто остальное еще в активной эксплуатации и не передано к анализу и исправлению. Не?

>Так что особой проблемы еще лет десять пользоваться апачем полугодичной давности

:)

>Насреддину-то, походу, больше свезло с эпохой.

https://4.bp.blogspot.com/-6NvRfGTWHvg/XKsCLFEljCI/AAAAAAAAE...

Ответить | Правка | Наверх | Cообщить модератору

74. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."  –1 +/
Сообщение от Аноним (19), 09-Окт-21, 10:17 
Ну а суть человеков не менялась с времен начала нашей эры. Менялись лишь декорации. Внутри же все одно.
Ответить | Правка | Наверх | Cообщить модератору

80. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."  +/
Сообщение от пох. (?), 09-Окт-21, 12:20 
> Ну а суть человеков не менялась с времен начала нашей эры.

перечитай Старшую Эдду. Еще как менялась. Ну или нартский эпос, куда удобочитаемей, но там сложнее отделить поздние примеси.

Сдохнуть с мечом в руке - это тебе не смузи жрать.

Ответить | Правка | Наверх | Cообщить модератору

82. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."  +/
Сообщение от Аноним (19), 09-Окт-21, 13:47 
Да чего далеко ходить? Тут в соседнем треде все. Народ гагаринский, свиньи, русский линукс. А что емть Легион так и не поняли. А свиньи как были 2 тыс лет назад "грязным" имуществом, так и остались. Сменились только декорации...

Во все времена были свои "смуззи". И иной раз они даже превращались в достойных представителей.

Ну а ежели цикл будет нарушен, нам точно хана.

Ответить | Правка | К родителю #80 | Наверх | Cообщить модератору

84. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."  +/
Сообщение от Аноним (19), 09-Окт-21, 14:05 
Дополню себя.

>Ну а ежели цикл будет нарушен, нам точно хана.

В след итерации есть шанс изменить ход.

Ответить | Правка | К родителю #82 | Наверх | Cообщить модератору

78. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."  +/
Сообщение от Аноним (19), 09-Окт-21, 11:11 
>либо гибель цивилизации и уже больше будут цениться умения пригибаться и стрелять чем всякая ненужная фигня.

Как не парадоксально, но послевоенный мир всегда ознаменовывается подьемом. Как индустриальным, так и моральным. Чистка/сплочение/дух. И нет времени и сил на ненужную фигню.

Ответить | Правка | К родителю #68 | Наверх | Cообщить модератору

79. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."  +/
Сообщение от пох. (?), 09-Окт-21, 12:06 
Ты не путай послевоенный мир и гибель пережравших смузи цивилизаций.

С 1 по 10 век нашей эры никакого подъема не было - даже такие примитивные вещи как канализацию и водопровод переизобретали потом еще лет 500. И еще 300 до внедрения не в единичных реализациях.

Ибо "нет времени и сил на ненужную фигню - надо срочно бежать убивать соседа". Пока тот первым не прибежал.

Ответить | Правка | Наверх | Cообщить модератору

83. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."  +/
Сообщение от Аноним (19), 09-Окт-21, 13:53 
Вот ведь интересно. Из раза в раз мы с тобой возвращаемся к этой теме. Шли годы...:)

Войны приходили тогда, когда народ пережирал смуззи. Вспомни содом и гоморру. Все старо...

С 1-10 вв тоже был свой прогресс. А смуззей поменьше, потому что соседи чаще набегали.

Сейчас вот видишь, ковид появился. И реалии его далеки от того, что по тв да в табличках. Там очень интересный механизм последствий отдаленных.

Но нужно несмотря ни на что. Вопреки всему.

Ответить | Правка | Наверх | Cообщить модератору

85. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."  +/
Сообщение от пох. (?), 09-Окт-21, 14:12 
> Войны приходили тогда, когда народ пережирал смуззи.

да нет, откуда. Готские войны - банально жрать нечего. Обоим сторонам. Кто были посытее, голодных перебили. Мавританское завоевание - [предпоследнего] тяжело больного короля убили в постели  "потому что некто враждебный ему убрал от него оружие" - вот ета жизть, эт я понимаю, умирающий не может отпустить оружия, чтоб не умереть прямщас. Смузи тут пить некогда и негде.

И там куда не плюнь, где вообще внятная письменная история осталась.

Ответить | Правка | К родителю #83 | Наверх | Cообщить модератору

88. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."  +/
Сообщение от Аноним (19), 09-Окт-21, 14:34 
Правильно, но все это мотивировалось чем, тем, что у кого-то было не так. Другой стороне казалось, что вот сейчас...и счастье.
Разница только в обьеме переедания...

Вот так и нам с тобой сейчас кажется, что эти совсем ппц и крах цивилизации. Оно так-то небезосновательно нам кажется! Но истина всегда где-то между...
Во все времена подобное было. Пока разруливалось.

Просто ты по-духу воин и конечно смотреть тебе на все это смрадно. Но будь все воины...сам понимаешь. Давно бы нас никого не осталось. Тут баланс важен!

Ответить | Правка | К родителю #85 | Наверх | Cообщить модератору

77. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."  +/
Сообщение от Онаним (?), 09-Окт-21, 11:08 
Хруст будет очень сложно "протащить под деградацию", потому что он и так находится внизу этой пищевой цепочки.
Ответить | Правка | К родителю #33 | Наверх | Cообщить модератору

40. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."  –3 +/
Сообщение от Аноним (40), 08-Окт-21, 18:58 
Ну всё правильного. http головного мозга.
Ответить | Правка | Наверх | Cообщить модератору

58. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."  –1 +/
Сообщение от Аноним (58), 09-Окт-21, 00:57 
Lighthttpd норм сервер?
Ответить | Правка | Наверх | Cообщить модератору

59. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."  +1 +/
Сообщение от Аноним (19), 09-Окт-21, 01:17 
Для отдачи статики норм. Лайти для этого обычно применяют. Закрываешь им или хдвижком попачь и норм.
Сам юзаю https://bsd.plumbing/about.html
Ответить | Правка | Наверх | Cообщить модератору

60. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."  –2 +/
Сообщение от Аноним (27), 09-Окт-21, 01:58 
Спасибо. Мне для статики + fascgi. Просто хотелось убедиться, что у него нет репутации дырявого сервака.
Ответить | Правка | Наверх | Cообщить модератору

66. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."  +2 +/
Сообщение от Аноним (66), 09-Окт-21, 08:15 
Да он дырявый, ты не беспокойся.
Ответить | Правка | Наверх | Cообщить модератору

71. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."  +2 +/
Сообщение от Аноним (19), 09-Окт-21, 09:59 
Нет, репутации дырявого за ним нет.

https://www.cvedetails.com/product/4762/Lighttpd-Lighttpd.ht...

Ответить | Правка | К родителю #60 | Наверх | Cообщить модератору

73. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."  +/
Сообщение от Аноним (19), 09-Окт-21, 10:11 
Тут скорее в скрипты смотреть. Там дыр обычно больше.
Ответить | Правка | К родителю #60 | Наверх | Cообщить модератору

90. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."  +1 +/
Сообщение от _kp (ok), 11-Окт-21, 11:52 
Какие то извращенцы.. Зачем соваться блокировать 2Е в URI, кстати проделывая лишнюю работу, когда можно перехватив работу с путями за счет кеширования еще и быстродействие поднять.
Да, я не смотрел детали, что там сейчас в Apache, но веб серверы писал, и мне странно читать про такие ляпы, и костыльные подпорки особенно.
Ответить | Правка | Наверх | Cообщить модератору

92. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."  +/
Сообщение от Аноним (7), 13-Окт-21, 08:15 
Такой вот уровень программистов поколения растаманов.
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру