The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

форумы  правила/FAQ  поиск  регистрация  вход/выход  слежка  RSS
"Релиз http-сервера Apache 2.4.25"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Релиз http-сервера Apache 2.4.25"  +/
Сообщение от opennews (ok) on 24-Дек-16, 15:15 
Состоялся (http://www.mail-archive.com/announce@httpd.apache.org/m...) релиз HTTP-сервера Apache 2.4.25 (http://httpd.apache.org/), в котором представлено 64 изменения (http://www.apache.org/dist/httpd/CHANGES_2.4.25), 22 из которых связаны с исправлениями в модуле mod_http2. Из за обнаружения проблем со сбокой некоторых модулей выпуск 2.4.24 был отменён, следом за 2.4.23 сразу опубликован релиз 2.4.25.


Из изменений можно отметить:


-  Устранено 5 уязвимостей:


-  CVE-2016-0736 - mod_session_crypto подвержен атакам, основанным на анализе добавочного заполнения (padding oracle).  Защита реализована через аутентификацию сеансовых данных и cookie при помощи MAC (SipHash);

-  CVE-2016-2161 - крах mod_auth_digest из-за заполнения всей доступной разделяемой памяти при обработке специально оформленных клиентских данных;
-   CVE-2016-5387 -  уязвимость под кодовым названием Httpoxy,  позволяющая (https://www.opennet.ru/opennews/art.shtml?num=44809) совершить MITM-атаку через манипуляцию с HTTP-заголовком Proxy;

-   CVE-2016-8740 - уязвимость в реализации HTTP/2, позволяющая (https://www.opennet.ru/opennews/art.shtml?num=45627) осуществить отказ в обслуживании через исчерпание всей доступной процессу памяти;

-   CVE-2016-8743 - возможность проведения атак через разбиение заголовков и отравление кэша из-за особенности обработки пробелов при разборе заголовков. Заголовки теперь жестко проверяются на соответствие RFC7230 и в случае наличия некорректного заголовка выдаётся ошибка 500;

-  В mod_ratelimit добавлена возможность начальной передачи данных на полной скорости до начала урезания пропускной способности;

-  В mod_socache_memcache обеспечен вывод статистики  memcache через mod_status;

-  Добавлена директива HttpProtocolOptions для управления применением различных опций протокола, описанных в RFC 7230;
-  В запросах к прокси добавлена возможность указания незакодированных символов ';' в запросе и заголовке "Location:";

-  Добавлена директива RegisterHttpMethod  для регистрации нестандартных методов  HTTP;
-  В mod_socache_memcache обеспечена передача сведений о времени окончания жизни записей в  memcached;
-  В  mod_http2 добавлена директива 'H2EarlyHints' для включения отправки данных о состоянии в HTTP-ответах с кодом 103;

-  В  mod_http2 добавлена директива 'H2PushResource' для включения  ранней отправки ресурсов методом PUSH до начала обработки основного запроса;
-  В  mod_http2 добавлена директива H2CopyFiles для изменения метода обработки файлов в ответах;
-  В mod_proxy_http2 добавлена поддержка кода состояния 103 (Checkpoint);

-  Обеспечен вывод ответа "408 Request Timeout" при при исчерпании таймаута в процессе чтения тела запроса;

-  В утилите ab добавлена возможность указания параметров SNI для идентификации проверяемого виртуального хоста при соединении через  TLS.


URL: http://www.mail-archive.com/announce@httpd.apache.org/m...
Новость: http://www.opennet.ru/opennews/art.shtml?num=45757

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Релиз http-сервера Apache 2.4.25"  –4 +/
Сообщение от th3m3 (ok) on 24-Дек-16, 15:15 
Кроме хостингов, его реально ещё кто-то юзает в продакшене?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Релиз http-сервера Apache 2.4.25"  +1 +/
Сообщение от leap42 (ok) on 24-Дек-16, 15:32 
да, использую, а разве есть какой-то другой простой, мощный, надёжный и хорошо документированный веб-сервер с открытым кодом?
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "Релиз http-сервера Apache 2.4.25"  +2 +/
Сообщение от Аноним (??) on 24-Дек-16, 15:37 
Да, есть несколько. Минимум ещё 3.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Релиз http-сервера Apache 2.4.25"  –9 +/
Сообщение от Andrey Mitrofanov on 24-Дек-16, 15:56 
> Да, есть несколько. Минимум ещё 3.

Вы используете сразу 4 веб-вервера? Матёро!--

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

7. "Релиз http-сервера Apache 2.4.25"  +8 +/
Сообщение от Syward (ok) on 24-Дек-16, 17:30 
Где он написал,  что он использует 4 сервера? Он написал,  что есть еще 3, минимум.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

6. "Релиз http-сервера Apache 2.4.25"  +/
Сообщение от Анын (ok) on 24-Дек-16, 17:28 
>>Минимум ещё 3.

Nginx.. а еще?

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

8. "Релиз http-сервера Apache 2.4.25"  –4 +/
Сообщение от leap42 (ok) on 24-Дек-16, 17:35 
а назовите пожалуйста, только не пишите реверс-прокси nginx и lighttpd, которые прекрасно отдают статику и кешируют, но на "мощный веб-сервер" (я выше именно так и написал) не тянут, и могут лишь раздавать веб-контент, сгенерированный где-то еще (да, я знаю, что для nginx можно написать логику на lua или модуль на C, который будет что-то генерить, но мощному веб-серверу такое явно ни к чему).
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

9. "Релиз http-сервера Apache 2.4.25"  +3 +/
Сообщение от анон9 on 24-Дек-16, 18:18 
Назовите ваши критерии "мощного веб-сервера", а то гадать можно долго
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

38. "Релиз http-сервера Apache 2.4.25"  +/
Сообщение от Аноним (??) on 08-Окт-17, 23:55 
Всё строго как в статья для профессионалов, если выдает больше 1 киловата, значит мощный!
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

10. "Релиз http-сервера Apache 2.4.25"  +1 +/
Сообщение от Аноним (??) on 24-Дек-16, 18:51 
А что у тебя там апач генерирует то, м? PHP, Perl/CGI? Дак то тоже не заслуга апача - апач только отдает то, что эти интерпретаторы сгенерили. Что вообще такое "мощный веб-сервер"? Чем апач лучше nginx/lighttpd, если апач так же отдает статику?
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

11. "Релиз http-сервера Apache 2.4.25"  –1 +/
Сообщение от Shodan (ok) on 24-Дек-16, 20:39 
плюс апача - большое кол-во модулей
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "Релиз http-сервера Apache 2.4.25"  –2 +/
Сообщение от th3m3 (ok) on 24-Дек-16, 21:04 
Что же за модули вы там всё юзаете, для типовых проектов, которые потом сервера ложат? :) Апач же жрёт, как не в себя.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

33. "Релиз http-сервера Apache 2.4.25"  +/
Сообщение от lucentcode (ok) on 13-Янв-17, 02:18 
> плюс апача - большое кол-во модулей

То же самое касается и nginx.


Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

34. "Релиз http-сервера Apache 2.4.25"  +/
Сообщение от Andrey Mitrofanov on 13-Янв-17, 09:32 
>> плюс апача - большое кол-во модулей
> То же самое касается и nginx.

Согласен! Большое к-во модулей нжинкса -- плюс апача.

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

35. "Релиз http-сервера Apache 2.4.25"  +/
Сообщение от Shodan (ok) on 13-Янв-17, 12:31 
>> плюс апача - большое кол-во модулей
> То же самое касается и nginx.

У апача больше :)
В nginx только недавно появилась возможность динамически подключать модули. И до сих пор некоторые модули можно собрать только статикой, пересобирая nginx каждый раз.

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

25. "Релиз http-сервера Apache 2.4.25"  –1 +/
Сообщение от лютый жабист__ on 27-Дек-16, 05:04 
Апач до сих пор на каждого клиента форкается? Как можно это называть надежным и мощным, любой школьник-кульхакер Вася положит твой сайт. Либо выест твои бабульки со счёта, если ты в хорошо масштабируемом облаке сидишь. Что одинаково неприятно.

Ещё и список дырок поражает воображение, ветке 2.4 уже 100 лет, а до сих пор столько дурацких ляпов. Здравствуй быстрый си!

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

27. "Релиз http-сервера Apache 2.4.25"  –1 +/
Сообщение от XoRe (ok) on 27-Дек-16, 21:31 
> да, использую, а разве есть какой-то другой простой, мощный, надёжный и хорошо
> документированный веб-сервер с открытым кодом?

Остается только гадать, что вы подразумеваете под "мощный".
Могу предположить, что вы имеете в виду "может запускать php внутри себя", т.е. имеющий php_mod.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

28. "Релиз http-сервера Apache 2.4.25"  –1 +/
Сообщение от XoRe (ok) on 27-Дек-16, 21:35 
> Кроме хостингов, его реально ещё кто-то юзает в продакшене?

Ещё дофига, или по старинке или просто он есть из коробки.
Но если учесть, сколько ещё используется в продакшене IIS, то apache выглядит не так плохо :)

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "Релиз http-сервера Apache 2.4.25"  –1 +/
Сообщение от ОлдФак (ok) on 24-Дек-16, 15:30 
Я юзаю в конторе, для работы внутренней СРМки самописной
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "Релиз http-сервера Apache 2.4.25"  +/
Сообщение от Аноним (??) on 25-Дек-16, 04:14 
https://imgur.com/a/UI6WL
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

17. "Релиз http-сервера Apache 2.4.25"  +/
Сообщение от Googlebot Серёженьки on 25-Дек-16, 19:33 
Тож бот? ;-)
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

29. "Релиз http-сервера Apache 2.4.25"  +/
Сообщение от Аноним (??) on 08-Янв-17, 09:53 
mod_php же не ту там
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

15. "Релиз http-сервера Apache 2.4.25"  +/
Сообщение от Аноним (??) on 25-Дек-16, 12:30 
Я юзаю Apache на локалке
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "Релиз http-сервера Apache 2.4.25"  +/
Сообщение от Starikashka on 25-Дек-16, 13:16 
Использую потому, что привык и знаю все настройки. Не вижу пока смысла перепрофилироваться.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

18. "Релиз http-сервера Apache 2.4.25"  +/
Сообщение от cmp (ok) on 26-Дек-16, 00:22 
У энжинкса дефолтный конфиг гораздо меньше, и "под себя" его сделать гораздо проще, нету этого тупорылого тегоподобного синтаксиса, он не тянет с собой ничего, и пакет и бинарник гораздо меньше, как ни крути, памяти жрет меньше, вообще беспонятия на кой нужен апач, если это не какая-нибуть старая, 100 раз переделанная смска гвоздями прибитая к апачу.
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

19. "Релиз http-сервера Apache 2.4.25"  +4 +/
Сообщение от Аноним (??) on 26-Дек-16, 11:05 
Как только вам понадобится отдать функционал mod_rewrite "продвинутому" бизнес пользователю, который будет править его для правильного учёта рекламных компаний ( в т.ч. для перенаправления старых ссылок за которые заплачено ) вы вовсю ощутите разницу в настройках и стоимости реализации с помощью одного и другого инструмента.
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

23. "Релиз http-сервера Apache 2.4.25"  –1 +/
Сообщение от sysoiv on 26-Дек-16, 22:39 
не? http://nginx.org/ru/docs/http/ngx_http_rewrite_module.html
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

24. "Релиз http-сервера Apache 2.4.25"  +1 +/
Сообщение от angra (ok) on 27-Дек-16, 01:03 
Ключевое слово было "отдать", то бишь речь об .htaccess, аналога которому в nginx нет.
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

26. "Релиз http-сервера Apache 2.4.25"  –2 +/
Сообщение от XoRe (ok) on 27-Дек-16, 21:28 
> "продвинутому" бизнес пользователю,

То есть хостинг. Как раз та ниша апача, где он ещё остался.
Хотя остается только гадать, накой бизнес пользователю держать сайт на шаред хостинге.
Особенно странно, что пользователь не боится пускать рекламный трафик на сервер с апачом :)

А для ссылок, за которые заплачено, в nginx можно плодить сотни конструкций типа:
location = /old/path/page { return 301 /new/path/page; }

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

31. "Релиз http-сервера Apache 2.4.25"  +1 +/
Сообщение от Аноним (??) on 08-Янв-17, 10:01 
вы видимо еще в 90 живете. или не знаете нормальных хостеров.

есть такой вид хостинга - где настроен и апач и nginx, есть ssh.
тем самым мы используем все плюшки apache и снижаем нагрузку с помощью nginx
тех. поддержка такого решения сравнима с шаредом, и у клиентов востребована т.к. не требуется настраивать свой VDS и тратится на админов.

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

32. "Релиз http-сервера Apache 2.4.25"  +/
Сообщение от XoRe (ok) on 13-Янв-17, 01:45 
> вы видимо еще в 90 живете. или не знаете нормальных хостеров.

Вы видимо не правильно прочитали, что я написал, или прочитали, но не поняли.
Я сказал, что хостинг - это та ниша, где ещё осталось полно апача.
Но я не говорил, что на этих хостингах есть ТОЛЬКО апач и больше ничего.

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

30. "Релиз http-сервера Apache 2.4.25"  +/
Сообщение от Аноним (??) on 08-Янв-17, 09:57 
суровые у вас пользователи - если лазят по .htaccess для такой простейшей операции.

у нормальных людей это в cms реализуется или на уровне php в виде php массива [Src => Dest, ...]
или csv файла в две колонки - что было  что стало.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

36. "Релиз http-сервера Apache 2.4.25"  +/
Сообщение от serafimperfect010993 email(ok) on 05-Сен-17, 18:39 
Кто может проконсультировать по поводу переезда на https?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

37. "<a href='/'>тест</a>"  +/
Сообщение от serafimperfect010993 email(ok) on 05-Сен-17, 18:45 
ddd
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема


  Закладки на сайте
  Проследить за страницей
Created 1996-2018 by Maxim Chirkov  
ДобавитьПоддержатьВебмастеруГИД  
Hosting by Ihor