Вышел релиз http-сервера Apache 2.2.9

15.06.2008 10:16

Анонсирован выход релиза http-сервера Apache 2.2.9. В новой версии устранены две неопасные уязвимости:

Возможность совершения DoS атаки через исчерпание всей доступной http-серверу памяти, используя ошибку в модуле mod_proxy_http;
CSRF (Cross Site Request Forgery) уязвимость в модуле mod_proxy_balancer.

Кроме того, в apache 2.2.9 исправлено более 50 ошибок, затрагивающих такие модули как mod_proxy, mod_unique_id, mod_cache, mod_rewrite, mod_dav, mod_ssl, mod_authn_dbd, mod_headers, mod_cgid, mod_speling, mod_substitute, mod_include, mod_charset_lite и mod_proxy_htt, а также утилиты ab, rotatelogs и htpasswd.

исправить +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/16478-apache

Ключевые слова: apache, http

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (8)

1.1, User294 (ok), 11:57, 15/06/2008 [ответить]	+/–
> Возможность совершения DoS атаки через исчерпание всей доступной http-серверу памяти Ага, щас.А форкание процессов при куче конекций которое все укладывает и выжирает всю оперативу тоже убрали?

2.2, Michael Shigorin (ok), 12:30, 15/06/2008 [^] [^^] [^^^] [ответить]	+/–
apt-get install nginx

3.8, User294 (ok), 23:33, 15/06/2008 [^] [^^] [^^^] [ответить]	+/–
Я это умею, но это ж не апач :))).Правда мне lighttpd больше нравится но nginx тоже весьма хороший сервак.Да, оно работает и намного менее ресурсожорко чем апач.Вот я и прикалываюсь - основной баг апача сводящийся к тому что он большой и неповоротливый монстр жрущий немеряно ресурсов как только число одновременных соединений становится сколь-нибудь значительным.Можно сказать что обычным сайтам это не надо.Но у любого сайта может случиться пик посещаемости или качальщиков, или просто какой-то дятел откроет 200 соединений.Апач при этом зачастую весьма неэстетично загибается, обламывая обслуживание других юзерей, хотя если попилить толщину канала на 200 - так никаких проблем с bandwidth и с тем чтобы отгрузить файло в таком количестве у сервера нету.

4.10, makiavelli (?), 17:07, 16/06/2008 [^] [^^] [^^^] [ответить]	+/–
апач на ура справляетца с любым кол-вом соединений. ресурсов в плане зависимости от кол-ва пользователей берет столько сколько указано и отвечает на любую потребность - хоть сайт на 3х юзеров хоть Гугл (тоже он;), все зависит от постройки (МПМ) и конфига. а то што он загибаетцца, так если неправильно настроить любой загнетца... вот, RTFM: http://httpd.apache.org/docs/2.0/ru/mpm.html

2.7, cobain (??), 18:18, 15/06/2008 [^] [^^] [^^^] [ответить]	+/–
помоему это не бага, а фича масштабируемости. Процессы сами нафоркиваюся сколько надо, и сами, если ненужны, умирают. А в них ещё треды есть. Количесво процессов и тредов можно указать в конфиге, расчитав по количеству доступной памяти.

1.5, Аноним (5), 13:54, 15/06/2008 [ответить]	+/–
Эти баги и исправления нормальны для тестовой ветки, она для этого и существует. Новый функционал всегда баги. Если хотите стабильности 1.3 ветка вам в помощь, если средняя между стабильностью и функционалом то 2.0 ветка, если чиста новые фичи потестить не в боевых условиях то 2.2 ветка.

1.6, Аноним (6), 14:36, 15/06/2008 [ответить]	+/–
>если чиста новые фичи потестить не в боевых условиях то 2.2 ветка. ага, в Debian Etch , RHEL 5 апач 2.2 добавли чтобы потестить... ну ну

2.9, Аноним (-), 09:23, 16/06/2008 [^] [^^] [^^^] [ответить]

+/–

>>если чиста новые фичи потестить не в боевых условиях то 2.2 ветка.
>
>ага, в Debian Etch , RHEL 5 апач 2.2 добавли чтобы потестить...
>ну ну

У рхела продуманная политика патчей и новых фич, а вообще если это парит то rhel 4 есть который обновляется итд

игнорирование участников | лог модерирования

Добавить комментарий

Текст: