The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Обновление nginx 1.4.7 с устранением опасной уязвимости в ре..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Обновление nginx 1.4.7 с устранением опасной уязвимости в ре..."  +/
Сообщение от opennews (??) on 18-Мрт-14, 23:12 
Доступны обновления стабильной (1.4.7 (http://mailman.nginx.org/pipermail/nginx-announce/2014/00013...)) и экспериментальной (1.5.12 (http://mailman.nginx.org/pipermail/nginx-announce/2014/00013...)) ветки http-сервера nginx (http://www.nginx.org) с устранением уязвимости (http://mailman.nginx.org/pipermail/nginx-announce/2014/00013...) (CVE-2014-0133) в модуле ngx_http_spdy_module. Проблема проявляется в переполнении буфера при выполнении специально сформированных запросов по протоколу SPDY и может потенциально привести  в выполнению кода атакующего с правами рабочего процесса nginx.


Следует отметить, что реализация протокола SPDY носит экспериментальный характер и не включена по умолчанию. Проблема затрагивает все версии nginx, начиная с 1.3.15, собранные с поддержкой модуля ngx_http_spdy_module без использования отладочного режима ("--with-debug"), в которых в файле конфигурации активирована опция "spdy" в директиве "listen".

URL: http://mailman.nginx.org/pipermail/nginx-announce/2014/00013...
Новость: http://www.opennet.ru/opennews/art.shtml?num=39344

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Обновление nginx 1.4.7 с устранением опасной уязвимости в ре..."  +/
Сообщение от Аноним (??) on 18-Мрт-14, 23:12 
> экспериментальной (1.5.12) ветки

В каком месте она экспериментальная?  На сайте написано - "основная".

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Обновление nginx 1.4.7 с устранением опасной уязвимости в ре..."  +1 +/
Сообщение от Аноним (??) on 19-Мрт-14, 00:17 
> В каком месте она экспериментальная?  На сайте написано - "основная".

На сайте nginx.org написано "mainline", что означает "находящаяся в разработке",  стабильная ветка 1.4, а 1.5 для экспериментов на свой страх и риск. После стабилизации на основе 1.5 будет выпущена стабильная ветка 1.6.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

6. "Обновление nginx 1.4.7 с устранением опасной уязвимости в ре..."  –2 +/
Сообщение от Аноним (??) on 19-Мрт-14, 00:42 
>> В каком месте она экспериментальная?  На сайте написано - "основная".
> На сайте nginx.org написано "mainline", что означает "находящаяся в разработке",  стабильная
> ветка 1.4, а 1.5 для экспериментов на свой страх и риск.
> После стабилизации на основе 1.5 будет выпущена стабильная ветка 1.6.

С чего вы взяли? Где это написано? На сайте nginx.org/ru/ написано основная версия.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Обновление nginx 1.4.7 с устранением опасной уязвимости в ре..."  +/
Сообщение от cvsup1 on 19-Мрт-14, 00:48 
http://nginx.org/ru/docs/http/ngx_http_spdy_module.html
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

8. "Обновление nginx 1.4.7 с устранением опасной уязвимости в ре..."  +/
Сообщение от cvsup1 on 19-Мрт-14, 00:51 
P.S.
касаемо "экспериментальной ветки" - согласен, я не нашел слова "experimental" в слове "mainline"
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Обновление nginx 1.4.7 с устранением опасной уязвимости в ре..."  +/
Сообщение от Аноним (??) on 19-Мрт-14, 08:39 
Всегда в nginx стабильными были только ветки со вторым чётным номером,  с нечётным - нестабильные.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

12. "Обновление nginx 1.4.7 с устранением опасной уязвимости в ре..."  –1 +/
Сообщение от Аноним (??) on 19-Мрт-14, 12:01 
Один из разработчиков, выступавший на хайлоаде, говорил, что обе ветки стабильные и рекомендовал 1.5 для продакшена.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

14. "Обновление nginx 1.4.7 с устранением опасной уязвимости в ре..."  +/
Сообщение от Аноним (??) on 20-Мрт-14, 12:50 
модуль spdy - экспериментальный, в дефолтных пакетах его нет.

честно предупреждают [1]:

> Известные проблемы
>
>Модуль экспериментальный, поэтому возможно всё.

[1] http://nginx.org/ru/docs/http/ngx_http_spdy_module.html

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

17. "Обновление nginx 1.4.7 с устранением опасной уязвимости в ре..."  +/
Сообщение от Аноним (??) on 20-Мрт-14, 18:50 
Модуль же, но не ветка (как было написано в первоначальной версии новости).
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

2. "Обновление nginx 1.4.7 с устранением опасной уязвимости в ре..."  –4 +/
Сообщение от Аноним (??) on 18-Мрт-14, 23:31 
http://www.securityfocus.com/bid/59496
http://www.securityfocus.com/bid/59323
http://www.securityfocus.com/bid/52999
http://www.securityfocus.com/bid/50710
http://www.securityfocus.com/bid/36839
http://www.securityfocus.com/bid/36384

Все-таки nginx - неплохая замена Apache, когда нужно организовать общедоступный shell-сервер. И достойный конкурент proftpd на этом поле.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Обновление nginx 1.4.7 с устранением опасной уязвимости в ре..."  +2 +/
Сообщение от Аноним (??) on 18-Мрт-14, 23:48 
А что, ssh запустить - слишком просто?
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Обновление nginx 1.4.7 с устранением опасной уязвимости в ре..."  +1 +/
Сообщение от irinat (ok) on 19-Мрт-14, 00:05 
Nginx 0.8, nginx 1.0, debian 5. Ваши новости, кхм, немного устарели.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

10. "Обновление nginx 1.4.7 с устранением опасной уязвимости в ре..."  –3 +/
Сообщение от asand3r on 19-Мрт-14, 08:55 
Ваш Debian немного устарел. ;)
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

11. "Обновление nginx 1.4.7 с устранением опасной уязвимости в ре..."  +/
Сообщение от irinat (ok) on 19-Мрт-14, 11:48 
> Ваш Debian немного устарел. ;)

Поясню. Сообщения об уязвимостях, приведенные анонимом, относятся к событиям времён Debian 5 и nginx 1.0.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

13. "Обновление nginx 1.4.7 с устранением опасной уязвимости в ре..."  –1 +/
Сообщение от Аноним (??) on 19-Мрт-14, 16:40 
как замена апачу - N2O нормально.
или Ковбой, если есть клиенты мобильные, где платформа имеет забагованную, пока, вебсокетов поддержку.
ngnx для малвера хорошо. криминалитет, правительство, провайдеры - оченно его любят.
как вебсервер как таковой - оно не але для XXI, хотя на фоне апача - выпукло получше.
но стоит ли ставить слабость апача - в достоинство другому продукту ? не думаю.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

15. "Обновление nginx 1.4.7 с устранением опасной уязвимости в ре..."  –1 +/
Сообщение от user455 on 20-Мрт-14, 13:39 
а чем апач хуже нгинкса? ну только аргументированно по пунктикам.
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

16. "Обновление nginx 1.4.7 с устранением опасной уязвимости в ре..."  +/
Сообщение от D on 20-Мрт-14, 14:58 
сохацкий, залогинтесь
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру