The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  вход/выход  слежка  RSS
"В HTTP-сервере Apache 2.4.23 устранена уязвимость"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В HTTP-сервере Apache 2.4.23 устранена уязвимость"  +/
Сообщение от opennews (??) on 07-Июл-16, 00:36 
Доступен (http://permalink.gmane.org/gmane.comp.apache.announce/82) релиз HTTP-сервера Apache 2.4.23 (http://httpd.apache.org/), в котором представлено 36 изменений, 17 из которых связаны с исправлениями в модуле mod_http2. Выпуски 2.4.21  и 2.4.22 были пропущены, следом за 2.4.20 сразу опубликован релиз 2.4.23.


В новом выпуске устранена уязвимость (http://permalink.gmane.org/gmane.comp.apache.announce/83) (CVE-2016-4979), которая позволяет обойти аутентификацию на основе клиентских сертификатов X509. Проблема проявляется только в системах, использующих HTTP/2, и позволяет получить доступ к  ресурсам, без предоставления необходимого для аутентификации сертификата.  Уязвимы версии httpd c 2.4.18 по 2.4.20 в которых активирован модуль mod_http2.


Из изменений, не связанных с безопасностью и исправлением ошибок,  можно отметить реализацию в mod_include конструкции "‹!--#comment текст комментария› (http://httpd.apache.org/docs/current/mod/mod_include.html#el...)" для определения комментариев в файлах SSI, а также добавление новой директивы CGIVar (http://httpd.apache.org/docs/current/mod/core.html#cgivar), при помощи которой можно определить правило заполнения переменной окружения REQUEST_URI (original-uri  для изначально запрошенного URI и current-uri для текущего URI).


URL: http://permalink.gmane.org/gmane.comp.apache.announce/82
Новость: http://www.opennet.ru/opennews/art.shtml?num=44743

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "В HTTP-сервере Apache 2.4.23 устранена уязвимость"  +2 +/
Сообщение от Аноним (??) on 07-Июл-16, 00:36 
Чот не понял я: где "ниюзаюапачващедавно, NGIИX рулит" :)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "В HTTP-сервере Apache 2.4.23 устранена уязвимость"  –5 +/
Сообщение от th3m3 (ok) on 07-Июл-16, 01:29 
Ок. Кто-то всё ещё юзает apache?
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "В HTTP-сервере Apache 2.4.23 устранена уязвимость"  +7 +/
Сообщение от Аноним999 (ok) on 07-Июл-16, 02:22 
С апреля 1996 и до настоящего времени является самым популярным HTTP-сервером в Интернете. Статистика Netcraft показывает следующие данные об использовании Apache:

в августе 2007 года он работал на 51 % всех веб-серверов
в мае 2009 года — на 46 %
в январе 2011 года — на 59 %, т.е. более чем на 160 млн сайтов
в январе 2016 года — на 33.56 %, т.е. более чем на 304 млн сайтов.

(Цитата из Википедии)

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

15. "В HTTP-сервере Apache 2.4.23 устранена уязвимость"  –3 +/
Сообщение от th3m3 (ok) on 07-Июл-16, 11:10 
Отчётливо видно, что все переходят на nginx.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

17. "В HTTP-сервере Apache 2.4.23 устранена уязвимость"  +8 +/
Сообщение от angra (ok) on 07-Июл-16, 11:52 
Пока отчетливо видно, что предметом ты владеешь на уровне школоло, только вчера узнавшего из какой-то статьи, что nginx "круче" apache, а сегодня несущего этот "свет знаний" всем вокруг.
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

22. "В HTTP-сервере Apache 2.4.23 устранена уязвимость"  –3 +/
Сообщение от th3m3 (ok) on 07-Июл-16, 14:51 
Проиграл с тебя.
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

32. "В HTTP-сервере Apache 2.4.23 устранена уязвимость"  +1 +/
Сообщение от Аноним (??) on 07-Июл-16, 22:33 
Ах у тебя ещё и с русским плохо. Какой разносторонний ребёнок..

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

20. "В HTTP-сервере Apache 2.4.23 устранена уязвимость"  +/
Сообщение от Snaut (ok) on 07-Июл-16, 13:31 
> Отчётливо видно, что все переходят на nginx.

обычно nginx ставят впереди apache. внутри организации более-менее с нагрузкой по сайтам - nginx стоит как просто прокси

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

23. "В HTTP-сервере Apache 2.4.23 устранена уязвимость"  +2 +/
Сообщение от th3m3 (ok) on 07-Июл-16, 14:53 
Обычно ставят только nginx. Извращенцы ставят ещё и apache. Есть частные случаи, когда apache необходим, по каким либо модулям специфичным. Но в большинстве случаев, он нафиг ненужен.
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

29. "В HTTP-сервере Apache 2.4.23 устранена уязвимость"  –1 +/
Сообщение от Аноним (??) on 07-Июл-16, 18:46 
Есть частный случай, где возможности установить nginx нет в принципе. Так что апач тут волей-неволей...
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

33. "В HTTP-сервере Apache 2.4.23 устранена уязвимость"  +/
Сообщение от Аноним (??) on 07-Июл-16, 22:37 
Кинь ссылочку на обычную статистику.
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

41. "В HTTP-сервере Apache 2.4.23 устранена уязвимость"  +1 +/
Сообщение от angra (ok) on 08-Июл-16, 04:51 
Да, mod_php это такой очень специфичный случай, почти нигде не используется :)
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

4. "В HTTP-сервере Apache 2.4.23 устранена уязвимость"  +1 +/
Сообщение от Аноним (??) on 07-Июл-16, 02:32 
IspManager, cPanel, DirectAdmin, Plesk использует этот ваш Legacy Apache и не желает его менять.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

14. "В HTTP-сервере Apache 2.4.23 устранена уязвимость"  +/
Сообщение от th3m3 (ok) on 07-Июл-16, 11:10 
Это всё прерогатива всяких хостингов, которые уже давно не нужны. Сервера копейки стоят.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

24. "В HTTP-сервере Apache 2.4.23 устранена уязвимость"  +/
Сообщение от Мишка большая шишка on 07-Июл-16, 15:08 
Если хостинги не нужны, то ты дурашка
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

26. "В HTTP-сервере Apache 2.4.23 устранена уязвимость"  +/
Сообщение от th3m3 (ok) on 07-Июл-16, 17:35 
А зачем нужны хостинги, когда можно VPS недорого взять? А некоторых случаях, даже дешевле, чем хостинг выйдет.
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

30. "В HTTP-сервере Apache 2.4.23 устранена уязвимость"  +/
Сообщение от Аноним (??) on 07-Июл-16, 19:01 
> А зачем нужны хостинги, когда можно VPS недорого взять? А некоторых случаях,
> даже дешевле, чем хостинг выйдет.

Получите jail без возможности тюнить ядро и тд и тп. Плавали, знаем.


Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

31. "В HTTP-сервере Apache 2.4.23 устранена уязвимость"  +/
Сообщение от Аноним (??) on 07-Июл-16, 21:46 
А на хостинге значит ты можешь ядро тюнить? Ну-ну
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

37. "В HTTP-сервере Apache 2.4.23 устранена уязвимость"  +/
Сообщение от th3m3 (ok) on 07-Июл-16, 23:16 
Не всегда. Очень многие разрешают загружать свой образ. Да и тем более, нефига себе. На хостинге ничего почти нельзя, а тут практически делай что хочешь.
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

34. "В HTTP-сервере Apache 2.4.23 устранена уязвимость"  +/
Сообщение от Аноним (??) on 07-Июл-16, 22:38 
Хо́стинг (англ. hosting) — услуга по предоставлению ресурсов для размещения информации на сервере, постоянно находящемся в сети (обычно Интернет).

Для самых маленьких - VPS это тоже хостинг.

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

42. "В HTTP-сервере Apache 2.4.23 устранена уязвимость"  +/
Сообщение от th3m3 (ok) on 11-Июл-16, 01:38 
Не придирайся к словам. Всем и так понятно, что такое хостинг и что такое виртуальный сервер.
Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

43. "В HTTP-сервере Apache 2.4.23 устранена уязвимость"  +/
Сообщение от th3m3 (ok) on 11-Июл-16, 01:39 
И это не одно и тоже.
Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

27. "В HTTP-сервере Apache 2.4.23 устранена уязвимость"  +/
Сообщение от _ (??) on 07-Июл-16, 17:44 
>Это всё прерогатива всяких хостингов, которые уже давно не нужны.

Оно то так конечно, да только вот из 360 млн. сайтов - 320 - это именно они :-/
>Сервера копейки стоят.

А время админов дорого.  А если ты самО ... то это full time job, но не оплачиваемый.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

36. "В HTTP-сервере Apache 2.4.23 устранена уязвимость"  –1 +/
Сообщение от th3m3 (ok) on 07-Июл-16, 23:15 
Быть DevOPS сейчас модно ;)
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

9. "В HTTP-сервере Apache 2.4.23 устранена уязвимость"  +/
Сообщение от Аноним (??) on 07-Июл-16, 08:09 
А nginx и не юзают. На языке его конфигураций программы пишут. Я вобще не понимаю, почему он до сих пор не компилятор, там же ни одной переменной, не перекрытой из конфигурации уже не осталось.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

13. "В HTTP-сервере Apache 2.4.23 устранена уязвимость"  +/
Сообщение от Аноним (??) on 07-Июл-16, 11:02 
Изначально компилятор, т.к. компилировал настройки.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

5. "В HTTP-сервере Apache 2.4.23 устранена уязвимость"  +3 +/
Сообщение от Аноним email(??) on 07-Июл-16, 07:15 
А в чём проблема его использовать дальше?
Работает себе и не парит мозг.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "В HTTP-сервере Apache 2.4.23 устранена уязвимость"  +5 +/
Сообщение от Нанобот (ok) on 07-Июл-16, 09:13 
>Работает себе и не парит мозг.

для некоторых это как раз и является проблемой

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

40. "В HTTP-сервере Apache 2.4.23 устранена уязвимость"  +1 +/
Сообщение от Аноним (??) on 08-Июл-16, 00:30 
> Работает себе и не парит мозг

Не видел, как бухгалтерши каждый месяц мебель в кабинете переставляют? Вот и админы такие бывают.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

6. "В HTTP-сервере Apache 2.4.23 устранена уязвимость"  +3 +/
Сообщение от Какаянахренразница (ok) on 07-Июл-16, 07:42 
> Выпуски 2.4.21 и 2.4.22 были пропущены

В чём тайный смысл сего действа?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "В HTTP-сервере Apache 2.4.23 устранена уязвимость"  +10 +/
Сообщение от A.Stahl (ok) on 07-Июл-16, 08:57 
>В чём тайный смысл сего действа?

Какаянахренразница?

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

12. "В HTTP-сервере Apache 2.4.23 устранена уязвимость"  +11 +/
Сообщение от Какаянахренразница (ok) on 07-Июл-16, 09:15 
Вопрос снят.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

28. "В HTTP-сервере Apache 2.4.23 устранена уязвимость"  +2 +/
Сообщение от _ (??) on 07-Июл-16, 17:47 
Чорд! Это даже красиво! :-D
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

16. "В HTTP-сервере Apache 2.4.23 устранена уязвимость"  +2 +/
Сообщение от Аноним (??) on 07-Июл-16, 11:42 
В оригинале новости написано "Versions 2.4.22 and 2.4.21 were not released". В списке изменений http://www.apache.org/dist/httpd/CHANGES_2.4 эти версии есть.

Не нашёл, как посмотреть в репозиторий, но есть теория, что хотели выпустить .21, в ней почти сразу обнаружили уязвимость, сделали (в репозитории) .22, там тоже сразу обнаружили уязвимости и сделали .23. Выпускать в форме тарболов первые две смысла не нашли. Но это лишь догадки

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

18. "В HTTP-сервере Apache 2.4.23 устранена уязвимость"  +4 +/
Сообщение от Andrey Mitrofanov on 07-Июл-16, 12:07 
> Не нашёл, как посмотреть в репозиторий, но есть теория

Большой Учёный! Уважуха. >,<

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

19. "В HTTP-сервере Apache 2.4.23 устранена уязвимость"  +/
Сообщение от Аноним (??) on 07-Июл-16, 13:21 
Может, поделишься ссылкой на репозиторий, шутник? :)

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

25. "В HTTP-сервере Apache 2.4.23 устранена уязвимость"  +1 +/
Сообщение от Аноним84701 on 07-Июл-16, 16:18 
Гм, ну, вроде как смотрим в в меню:
> "Get Involved
>
> Mailing Lists
> Bug Reports
> Developer Info <- нам сюда"

http://httpd.apache.org/dev/
> Source Repository Information
> Apache Development Notes about using SVN and maintaining the Apache site.
> A web-based view of the SVN history of the httpd development effort

http://svn.apache.org/viewvc/httpd/
Та-да!

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

35. "В HTTP-сервере Apache 2.4.23 устранена уязвимость"  +/
Сообщение от Аноним (??) on 07-Июл-16, 22:43 
Миф бастерс на опеннет.ру.
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

38. "В HTTP-сервере Apache 2.4.23 устранена уязвимость"  +/
Сообщение от Аноним (??) on 07-Июл-16, 23:51 
> Та-да!

Блин, старею :( И теория не оправдалась, релизы готовились в спокойной обстановке... Не знаю, зачем сделали .23 сразу после .20...

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

39. "В HTTP-сервере Apache 2.4.23 устранена уязвимость"  +/
Сообщение от Аноним (??) on 08-Июл-16, 00:09 
Надеюсь, что мне пора спать, потому что, судя по спискам рассылки, они ГОЛОСОВАНИЕМ решают, релизить ту или иную версию или нет! Проголосовали против релизов .21 и .22.
Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру