Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Обновление nginx 1.14.1 и 1.15.6 с устранением трёх уязвимостей"	+/–
Сообщение от opennews (??), 06-Ноя-18, 20:19
Опубликованы (http://mailman.nginx.org/pipermail/nginx-announce/2018/00021...) новые выпуски основной и стабильной веток высокопроизводительного HTTP-сервера nginx (http://nginx.org/en/download.html) - 1.14.1 (http://mailman.nginx.org/pipermail/nginx-announce/2018/00021...) и 1.15.6 (http://mailman.nginx.org/pipermail/nginx-announce/2018/00021...), в которых устранены три уязвимости (http://nginx.org/en/security_advisories.html): -  CVE-2018-16845 (http://mailman.nginx.org/pipermail/nginx-announce/2018/00022...) - ошибка в модуле ngx_http_mp4_module (не собирается по умолчанию) может привести к краху рабочего процесса или отправке в составе ответа содержимого областей памяти рабочего процесса при обработке специально оформленных файлов mp4; -  CVE-2018-16843 (http://mailman.nginx.org/pipermail/nginx-announce/2018/00022...) - DoS-уявзимость в реализации протокола HTTP/2, которая может привести к исчерпанию доступной процессу памяти. Проблема проявляется только при использовании модуля ngx_http_v2_module и указании опции "http2" в блоке "listen"; -  CVE-2018-16844 (http://mailman.nginx.org/pipermail/nginx-announce/2018/00022...) -  DoS-уявзимость в реализации протокола HTTP/2, которая может привести к утилизации доступных ресурсов CPU. В выпуске 1.15.6 дополнительно добавлены новые директивы "proxy_socket_keepalive (https://nginx.org/en/docs/http/ngx_http_proxy_module.html#pr...)", "fastcgi_socket_keepalive",        "grpc_socket_keepalive", "memcached_socket_keepalive",        "scgi_socket_keepalive", и "uwsgi_socket_keepalive" для настройки keepalive для исходящих соединений (включения или выключения опции  SO_KEEPALIVE для сокетов). Исправлена ошибка, из-за которой протокол TLS 1.3  оставался постоянно включен при сборке с OpenSSL 1.1.0 и использовании OpenSSL 1.1.1. В бэкендах  gRPC сокрашено потребление памяти. URL: http://mailman.nginx.org/pipermail/nginx-announce/2018/00021... Новость: https://www.opennet.ru/opennews/art.shtml?num=49567
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 06-Ноя-18, 20:19	–4 +/–
Так вот он чем лучше апача...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4

4. Сообщение от Аноним (4), 06-Ноя-18, 20:29	+6 +/–
Только лишь в Apache 2.4 было в два раза больше уязвимостей, чем в nginx за всю историю. https://httpd.apache.org/security/vulnerabilities_24.html
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #8, #9

7. Сообщение от Аноним (4), 06-Ноя-18, 21:18	+/–
> Зочем? У него же нормальный async polling И как это поможет критичным к вычислительных ресурсам задачам, таким как TLS и сжатие на многоядерной системе (чуть менее чем все)?
Ответить | Правка | Наверх | Cообщить модератору

8. Сообщение от Fyjybv755 (?), 06-Ноя-18, 21:22	–1 +/–
>  Только лишь в Apache 2.4 было в два раза больше уязвимостей, чем в nginx за всю историю. А если считать только moderate (DoS и pwn), проявляющиеся в дефолтной конфигурации?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

9. Сообщение от _KUL (ok), 07-Ноя-18, 00:12	+1 +/–
История apache гораздо больше истории nginx
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #15

10. Сообщение от Ivan_83 (ok), 07-Ноя-18, 01:30	+1 +/–
http2 - нинужен, вот и доказательства.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #20

14. Сообщение от Аноним (14), 07-Ноя-18, 03:25	+1 +/–
Они еще живут в мире где есть TCP/IP? QUIC наше все!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #16, #17

15. Сообщение от Аноним (15), 07-Ноя-18, 06:57	+3 +/–
... Поэтому, за всю историю apache уязвимостей было просто дохрена! (Где логика в твоих словах? Если ты что-то хотел сказать - ты не договорил.)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #19

16. Сообщение от Аноним (15), 07-Ноя-18, 06:59	–1 +/–
для Ъ объясните, что такое QUIC, пожалуйста. SCTP не смогло забороть TCP, а этот квик - да?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #18

17. Сообщение от пох (?), 07-Ноя-18, 07:45	+3 +/–
гугль, ты залогиниться забыл!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

18. Сообщение от Аноним (14), 07-Ноя-18, 09:00	+/–
> что такое QUIC, пожалуйста Идите посмотрите будущий стандарт HTTP/3 и где вы там видите TCP?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

19. Сообщение от funny.falcon (?), 08-Ноя-18, 08:22	+/–
Логика в том, что нужно мерять не уязвимости за все время жизни, а в среднем за год.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #21

20. Сообщение от пох (?), 08-Ноя-18, 21:53	+/–
эта оверинжиниренная бесполезная хрень ненужно даже если бы в ней не водилась дыра на дыре. ну кроме, конечно же, гуглепейсбукотентаклей, продолжающих уничтожать любой интернет, кроме принадлежащего им.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

21. Сообщение от Аноним (21), 08-Ноя-18, 22:09	+2 +/–
nginx существует гораздо дольше, чем apache 2.4, а уязвимостей у него было вдвое меньше. Сами догадаетесь, у кого среднее в год будет меньше? Только лишь в этом году у Apache было 10 CVE, а у nginx всего 3.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема