forum.opennet.ru - "Релиз http-сервера lighttpd 1.4.35 с устранением уязвимостей" (21)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Релиз http-сервера lighttpd 1.4.35 с устранением уязвимостей"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Релиз http-сервера lighttpd 1.4.35 с устранением уязвимостей"	+/–
Сообщение от opennews (??) on 14-Мрт-14, 12:50
Увидел свет (http://www.lighttpd.net/2014/3/12/1.4.35/) релиз легковесного http-сервера lighttpd 1.4.35 (http://www.lighttpd.net). Выпуск носит корректирующий характер и содержит около двадцати изменений. Отдельно отмечается устранение уязвимости (http://download.lighttpd.net/lighttpd/security/lighttpd_sa_2...), которая проявляется при использовании модуля mod_mysql_vhost и может привести к подстановке SQL-кода через передачу специально оформленного содержимого HTTP-заголовка "Host:" (например, "Host: [::1]' UNION SELECT '/") из-за некорректной проверки IPv6 адресов. Уязвимость также присутствует в модулях mod_evhost и mod_simple_vhost и позволяет выйти за пределы текущей директории при указании ".." в пути, но проявляется только при наличии директорий с символами "[]", что делает уязвимость неприменимой на практике (например при наличии маски evhost.path-pattern = "/var/www/%0/" указание в поле "Host:" имени "[]/../../../" может привести к выходу за пределы /var/www/ при наличии директории /var/www/[]/). Кроме уязвимостей в новом выпуске устранена порция выявленных в процесcе тестирования в scan.coverity.com проблем, связанных с некорректной работой с буферами, утечками памяти и обращением к уже освобождённым областям памяти. URL: http://www.lighttpd.net/2014/3/12/1.4.35/ Новость: http://www.opennet.ru/opennews/art.shtml?num=39310
Ответить \| Правка \| Cообщить модератору

Оглавление

Релиз http-сервера lighttpd 1.4.35 с устранением уязвимостей, Аноним, 12:50 , 14-Мрт-14, (1) +2

Релиз http-сервера lighttpd 1.4.35 с устранением уязвимостей, RedRat, 13:24 , 14-Мрт-14, (5) –3

Релиз http-сервера lighttpd 1.4.35 с устранением уязвимостей, www2, 18:21 , 14-Мрт-14, (15)
Релиз http-сервера lighttpd 1.4.35 с устранением уязвимостей, RedRat, 18:29 , 14-Мрт-14, (16)

Релиз http-сервера lighttpd 1.4.35 с устранением уязвимостей, BratSinot, 21:45 , 14-Мрт-14, (22)

Релиз http-сервера lighttpd 1.4.35 с устранением уязвимостей, Аноним, 20:21 , 15-Мрт-14, (23)

Релиз http-сервера lighttpd 1.4.35 с устранением уязвимостей, Аноним, 16:27 , 14-Мрт-14, (12)

Релиз http-сервера lighttpd 1.4.35 с устранением уязвимостей, Аноним, 18:35 , 14-Мрт-14, (20)

Релиз http-сервера lighttpd 1.4.35 с устранением уязвимостей, Аноним, 13:06 , 14-Мрт-14, (2)

Релиз http-сервера lighttpd 1.4.35 с устранением уязвимостей, UNIm95, 13:32 , 14-Мрт-14, (6) +1

Релиз http-сервера lighttpd 1.4.35 с устранением уязвимостей, anonymous, 15:54 , 14-Мрт-14, (9)

Релиз http-сервера lighttpd 1.4.35 с устранением уязвимостей, Аноним, 16:27 , 14-Мрт-14, (11)

Релиз http-сервера lighttpd 1.4.35 с устранением уязвимостей, Аноним, 18:33 , 14-Мрт-14, (18) –2

Релиз http-сервера lighttpd 1.4.35 с устранением уязвимостей, Аноним, 20:26 , 15-Мрт-14, (25)

Релиз http-сервера lighttpd 1.4.35 с устранением уязвимостей, arisu, 20:32 , 15-Мрт-14, (26)

Релиз http-сервера lighttpd 1.4.35 с устранением уязвимостей, anonymous, 18:46 , 14-Мрт-14, (21)

Релиз http-сервера lighttpd 1.4.35 с устранением уязвимостей, Аноним, 20:24 , 15-Мрт-14, (24)

Релиз http-сервера lighttpd 1.4.35 с устранением уязвимостей, arisu, 20:33 , 15-Мрт-14, (28)

Релиз http-сервера lighttpd 1.4.35 с устранением уязвимостей, anonymous, 15:56 , 14-Мрт-14, (10)

Релиз http-сервера lighttpd 1.4.35 с устранением уязвимостей, MPEG LA, 17:00 , 14-Мрт-14, (13)
Релиз http-сервера lighttpd 1.4.35 с устранением уязвимостей, arisu, 17:14 , 14-Мрт-14, (14)

Сообщения по теме [Сортировка по времени | RSS]

1. "Релиз http-сервера lighttpd 1.4.35 с устранением уязвимостей" +2 +/–

Сообщение от Аноним (??) on 14-Мрт-14, 12:50

Стоит использовать вместо апача?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Релиз http-сервера lighttpd 1.4.35 с устранением уязвимостей" –3 +/–

Сообщение от RedRat (ok) on 14-Мрт-14, 13:24

Только если используются CGI-скрипты. Во всех остальных случаях - nginx.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

15. "Релиз http-сервера lighttpd 1.4.35 с устранением уязвимостей" +/–

Сообщение от www2 (??) on 14-Мрт-14, 18:21

А чотак? nginx не умеет CGI? Или Lighttpd не умеет чего-то, что умеет nginx?

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

16. "Релиз http-сервера lighttpd 1.4.35 с устранением уязвимостей" +/–

Сообщение от RedRat (ok) on 14-Мрт-14, 18:29

> А чотак? nginx не умеет CGI? Или Lighttpd не умеет чего-то, что умеет nginx?
Да, nginx не умеет CGI. Впрочем, CGI сейчас мало где используется. Во всём остальном nginx не уступает или превосходит Lighttpd.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

22. "Релиз http-сервера lighttpd 1.4.35 с устранением уязвимостей" +/–

Сообщение от BratSinot (ok) on 14-Мрт-14, 21:45

Дык тот-же PHP у них PHP-FPM, который чрез FastCGI.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

23. "Релиз http-сервера lighttpd 1.4.35 с устранением уязвимостей" +/–

Сообщение от Аноним (??) on 15-Мрт-14, 20:21

FastCGI != CGI

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

12. "Релиз http-сервера lighttpd 1.4.35 с устранением уязвимостей" +/–

Сообщение от Аноним (??) on 14-Мрт-14, 16:27

> Стоит использовать вместо апача?
Нет. Используйте Apache.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

20. "Релиз http-сервера lighttpd 1.4.35 с устранением уязвимостей" +/–

Сообщение от Аноним (??) on 14-Мрт-14, 18:35

> Нет. Используйте Apache.
...если денег на крЮтые серваки не жалко, особенно для сервировки статики.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

2. "Релиз http-сервера lighttpd 1.4.35 с устранением уязвимостей" +/–

Сообщение от Аноним (??) on 14-Мрт-14, 13:06

Вместо апача у многих уже nginx.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Релиз http-сервера lighttpd 1.4.35 с устранением уязвимостей" +1 +/–

Сообщение от UNIm95 (ok) on 14-Мрт-14, 13:32

nginx используют как балансирующий прокси для фермы апачей.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

9. "Релиз http-сервера lighttpd 1.4.35 с устранением уязвимостей" +/–

Сообщение от anonymous (??) on 14-Мрт-14, 15:54

Если мод-перл, да. Все остальное проще с точки зрения конфигурирования и экономнее по потреблению памяти запускать через fastcgi/scgi/wsgi.
В последний раз живой апач видел в 2008-м году, щас уже и не вспомню, как его настраивать.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

11. "Релиз http-сервера lighttpd 1.4.35 с устранением уязвимостей" +/–

Сообщение от Аноним (??) on 14-Мрт-14, 16:27

> не вспомню, как его настраивать
Может, твоя проблема была в этом?

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

18. "Релиз http-сервера lighttpd 1.4.35 с устранением уязвимостей" –2 +/–

Сообщение от Аноним (??) on 14-Мрт-14, 18:33

> Может, твоя проблема была в этом?
Учитывая политику апача - они могут идти на йух. Нормально сервировать статику они можно считать что не умеют, конфигурация замороченная, на динамике тоже ничего интересного не демонстрируют. Зато бзики по всякой энтерпрайзятине на яве им мозг сожрали. Ну и ориентируются на энтерпрайзы с серверами по 128 гигз памяти и 64 ядрами. Если у вас не дай боже сервак слабее, его школьник с мобилки сможет уронить.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

25. "Релиз http-сервера lighttpd 1.4.35 с устранением уязвимостей" +/–

Сообщение от Аноним (??) on 15-Мрт-14, 20:26

> Учитывая политику апача - они могут идти на йух.
Учитывая нежелание nginx поддерживать htaccess - они могут идти туда же.
> Если у вас не дай боже сервак слабее, его школьник с мобилки сможет уронить.
Для этого нужен не только слабый сервак, но убунтенок-эникей вместо админа (которые вообще не знает, что такое настройка параметров и нагрузочное тестирование).

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

26. "Релиз http-сервера lighttpd 1.4.35 с устранением уязвимостей" +/–

Сообщение от arisu (ok) on 15-Мрт-14, 20:32

> Учитывая нежелание nginx поддерживать htaccess
не понимаю, какая проблема сделать себе эту чушь, если без неё никак оргазм не получается.

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

21. "Релиз http-сервера lighttpd 1.4.35 с устранением уязвимостей" +/–

Сообщение от anonymous (??) on 14-Мрт-14, 18:46

Я немного утрировал, не понадобилось все это время ни разу, но в общих чертах помню (о, этот ад с Directory/Location, это незабываемо), хотя за это время, конечно, многое изменилось - видел издалека и офигел с числа модулей в дефолтной сборке современного апача.
Недавно вот имел дело (о ужас!) с windows server, вполне справился, хотя в последний раз его видел в 2003-м году. Поразился, что современные виндоадмины не знают даже базовых консольных виндовых команд, типа netsh и sc.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

24. "Релиз http-сервера lighttpd 1.4.35 с устранением уязвимостей" +/–

Сообщение от Аноним (??) on 15-Мрт-14, 20:24

> (о, этот ад с Directory/Location, это незабываемо),
Насколько я помню, в этом nginx практически не отличается от apache.
> офигел с числа модулей в дефолтной сборке современного апача.
Это безусловный плюс апача - не надо делать кастомные пересборки на каждый чих.

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

28. "Релиз http-сервера lighttpd 1.4.35 с устранением уязвимостей" +/–

Сообщение от arisu (ok) on 15-Мрт-14, 20:33

> не надо делать кастомные пересборки на каждый чих.
бедняга. я тебе сейчас радостную новость поведаю: сишный код давно уже не надо ручками в машинный переводить, это автоматизировали.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

10. "Релиз http-сервера lighttpd 1.4.35 с устранением уязвимостей" +/–

Сообщение от anonymous (??) on 14-Мрт-14, 15:56

Всегда поражаюсь такому. Почему в подобных модулях (в том числе многих ftp и dns-серверах) не используют prepared statements? Это ведь намного выгоднее - один раз после соединения сделать prepare, а дальше долбить execute по уже распарсенному и спланированному запросу. Не говоря уж о безопасности.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "Релиз http-сервера lighttpd 1.4.35 с устранением уязвимостей" +/–

Сообщение от MPEG LA (ok) on 14-Мрт-14, 17:00

индусы потому что

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

14. "Релиз http-сервера lighttpd 1.4.35 с устранением уязвимостей" +/–

Сообщение от arisu (ok) on 14-Мрт-14, 17:14

в принципе, потому, что «мускульвхост» нафиг никому особо не упёрся. написали как получилось и забыли.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Релиз http-сервера lighttpd 1.4.35 с устранением уязвимостей"	+2 +/–
Сообщение от Аноним (??) on 14-Мрт-14, 12:50
Стоит использовать вместо апача?
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	5. "Релиз http-сервера lighttpd 1.4.35 с устранением уязвимостей"	–3 +/–
	Сообщение от RedRat (ok) on 14-Мрт-14, 13:24
	Только если используются CGI-скрипты. Во всех остальных случаях - nginx.
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	15. "Релиз http-сервера lighttpd 1.4.35 с устранением уязвимостей"	+/–
	Сообщение от www2 (??) on 14-Мрт-14, 18:21
	А чотак? nginx не умеет CGI? Или Lighttpd не умеет чего-то, что умеет nginx?
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	16. "Релиз http-сервера lighttpd 1.4.35 с устранением уязвимостей"	+/–
	Сообщение от RedRat (ok) on 14-Мрт-14, 18:29
	> А чотак? nginx не умеет CGI? Или Lighttpd не умеет чего-то, что умеет nginx? Да, nginx не умеет CGI. Впрочем, CGI сейчас мало где используется. Во всём остальном nginx не уступает или превосходит Lighttpd.
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	22. "Релиз http-сервера lighttpd 1.4.35 с устранением уязвимостей"	+/–
	Сообщение от BratSinot (ok) on 14-Мрт-14, 21:45
	Дык тот-же PHP у них PHP-FPM, который чрез FastCGI.
	Ответить \| Правка \| ^ к родителю #16 \| Наверх \| Cообщить модератору


	23. "Релиз http-сервера lighttpd 1.4.35 с устранением уязвимостей"	+/–
	Сообщение от Аноним (??) on 15-Мрт-14, 20:21
	FastCGI != CGI
	Ответить \| Правка \| ^ к родителю #22 \| Наверх \| Cообщить модератору


	12. "Релиз http-сервера lighttpd 1.4.35 с устранением уязвимостей"	+/–
	Сообщение от Аноним (??) on 14-Мрт-14, 16:27
	> Стоит использовать вместо апача? Нет. Используйте Apache.
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	20. "Релиз http-сервера lighttpd 1.4.35 с устранением уязвимостей"	+/–
	Сообщение от Аноним (??) on 14-Мрт-14, 18:35
	> Нет. Используйте Apache. ...если денег на крЮтые серваки не жалко, особенно для сервировки статики.
	Ответить \| Правка \| ^ к родителю #12 \| Наверх \| Cообщить модератору

2. "Релиз http-сервера lighttpd 1.4.35 с устранением уязвимостей"	+/–
Сообщение от Аноним (??) on 14-Мрт-14, 13:06
Вместо апача у многих уже nginx.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	6. "Релиз http-сервера lighttpd 1.4.35 с устранением уязвимостей"	+1 +/–
	Сообщение от UNIm95 (ok) on 14-Мрт-14, 13:32
	nginx используют как балансирующий прокси для фермы апачей.
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	9. "Релиз http-сервера lighttpd 1.4.35 с устранением уязвимостей"	+/–
	Сообщение от anonymous (??) on 14-Мрт-14, 15:54
	Если мод-перл, да. Все остальное проще с точки зрения конфигурирования и экономнее по потреблению памяти запускать через fastcgi/scgi/wsgi. В последний раз живой апач видел в 2008-м году, щас уже и не вспомню, как его настраивать.
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	11. "Релиз http-сервера lighttpd 1.4.35 с устранением уязвимостей"	+/–
	Сообщение от Аноним (??) on 14-Мрт-14, 16:27
	> не вспомню, как его настраивать Может, твоя проблема была в этом?
	Ответить \| Правка \| ^ к родителю #9 \| Наверх \| Cообщить модератору


	18. "Релиз http-сервера lighttpd 1.4.35 с устранением уязвимостей"	–2 +/–
	Сообщение от Аноним (??) on 14-Мрт-14, 18:33
	> Может, твоя проблема была в этом? Учитывая политику апача - они могут идти на йух. Нормально сервировать статику они можно считать что не умеют, конфигурация замороченная, на динамике тоже ничего интересного не демонстрируют. Зато бзики по всякой энтерпрайзятине на яве им мозг сожрали. Ну и ориентируются на энтерпрайзы с серверами по 128 гигз памяти и 64 ядрами. Если у вас не дай боже сервак слабее, его школьник с мобилки сможет уронить.
	Ответить \| Правка \| ^ к родителю #11 \| Наверх \| Cообщить модератору


	25. "Релиз http-сервера lighttpd 1.4.35 с устранением уязвимостей"	+/–
	Сообщение от Аноним (??) on 15-Мрт-14, 20:26
	> Учитывая политику апача - они могут идти на йух. Учитывая нежелание nginx поддерживать htaccess - они могут идти туда же. > Если у вас не дай боже сервак слабее, его школьник с мобилки сможет уронить. Для этого нужен не только слабый сервак, но убунтенок-эникей вместо админа (которые вообще не знает, что такое настройка параметров и нагрузочное тестирование).
	Ответить \| Правка \| ^ к родителю #18 \| Наверх \| Cообщить модератору


	26. "Релиз http-сервера lighttpd 1.4.35 с устранением уязвимостей"	+/–
	Сообщение от arisu (ok) on 15-Мрт-14, 20:32
	> Учитывая нежелание nginx поддерживать htaccess не понимаю, какая проблема сделать себе эту чушь, если без неё никак оргазм не получается.
	Ответить \| Правка \| ^ к родителю #25 \| Наверх \| Cообщить модератору


	21. "Релиз http-сервера lighttpd 1.4.35 с устранением уязвимостей"	+/–
	Сообщение от anonymous (??) on 14-Мрт-14, 18:46
	Я немного утрировал, не понадобилось все это время ни разу, но в общих чертах помню (о, этот ад с Directory/Location, это незабываемо), хотя за это время, конечно, многое изменилось - видел издалека и офигел с числа модулей в дефолтной сборке современного апача. Недавно вот имел дело (о ужас!) с windows server, вполне справился, хотя в последний раз его видел в 2003-м году. Поразился, что современные виндоадмины не знают даже базовых консольных виндовых команд, типа netsh и sc.
	Ответить \| Правка \| ^ к родителю #11 \| Наверх \| Cообщить модератору


	24. "Релиз http-сервера lighttpd 1.4.35 с устранением уязвимостей"	+/–
	Сообщение от Аноним (??) on 15-Мрт-14, 20:24
	> (о, этот ад с Directory/Location, это незабываемо), Насколько я помню, в этом nginx практически не отличается от apache. > офигел с числа модулей в дефолтной сборке современного апача. Это безусловный плюс апача - не надо делать кастомные пересборки на каждый чих.
	Ответить \| Правка \| ^ к родителю #21 \| Наверх \| Cообщить модератору


	28. "Релиз http-сервера lighttpd 1.4.35 с устранением уязвимостей"	+/–
	Сообщение от arisu (ok) on 15-Мрт-14, 20:33
	> не надо делать кастомные пересборки на каждый чих. бедняга. я тебе сейчас радостную новость поведаю: сишный код давно уже не надо ручками в машинный переводить, это автоматизировали.
	Ответить \| Правка \| ^ к родителю #24 \| Наверх \| Cообщить модератору

10. "Релиз http-сервера lighttpd 1.4.35 с устранением уязвимостей"	+/–
Сообщение от anonymous (??) on 14-Мрт-14, 15:56
Всегда поражаюсь такому. Почему в подобных модулях (в том числе многих ftp и dns-серверах) не используют prepared statements? Это ведь намного выгоднее - один раз после соединения сделать prepare, а дальше долбить execute по уже распарсенному и спланированному запросу. Не говоря уж о безопасности.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	13. "Релиз http-сервера lighttpd 1.4.35 с устранением уязвимостей"	+/–
	Сообщение от MPEG LA (ok) on 14-Мрт-14, 17:00
	индусы потому что
	Ответить \| Правка \| ^ к родителю #10 \| Наверх \| Cообщить модератору


	14. "Релиз http-сервера lighttpd 1.4.35 с устранением уязвимостей"	+/–
	Сообщение от arisu (ok) on 14-Мрт-14, 17:14
	в принципе, потому, что «мускульвхост» нафиг никому особо не упёрся. написали как получилось и забыли.
	Ответить \| Правка \| ^ к родителю #10 \| Наверх \| Cообщить модератору