URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 44413
[ Назад ]
Исходное сообщение
"OpenNews: Вышел nginx 0.7.19"
Отправлено opennews , 14-Окт-08 10:09 
В nginx 0.7.19 (http://sysoev.ru/nginx/changes.html) реализован новый модуль ngx_http_secure_link_module (http://sysoev.ru/nginx/docs/http/ngx_http_secure_link_module...), предназначенный для организации перехода по защищенной md5-хэшем ссылке. Другие новшества:

-  Изменение: директива underscores_in_headers; теперь nginx по умолчанию не разрешает подчёркивания в именах строк в заголовке запроса клиента.
-  Добавление: директива real_ip_header поддерживает любой заголовок.
-  Добавление: директива log_subrequest.
-  Добавление: переменная $realpath_root.
-  Добавление: параметры http_502 и http_504 в директиве proxy_next_upstream.
-  Исправление: параметр http_503 в директивах proxy_next_upstream или fastcgi_next_upstream не работал.
-  Исправление: nginx мог выдавать строку "Transfer-Encoding: chunked" для запросов HEAD.
-  Исправление: теперь accept-лимит зависит от числа worker_connections.


URL: http://sysoev.ru/nginx/changes.html
Новость: http://www.opennet.me/opennews/art.shtml?num=18387

Содержание
Сообщения в этом обсуждении
"Вышел nginx 0.7.19"
Отправлено zuborg , 14-Окт-08 10:09 
а баг когда в запросах от nginx к апачу при определенных условиях не екранируются пробелы (а может и другие символвы):

GET /cgi-bin/info.cgi?key=value with space here HTTP/1.1

так и остается непофикшеным уже несколько релизов.

"Вышел nginx 0.7.19"
Отправлено Аноним , 14-Окт-08 11:28 
Вообще-то пробелы в методе гет запрещены и они должны быть заменены клиентом на +, а коли клиент дебил, то я бы вообще такой запрос клоцал до первого пробела.
"Вышел nginx 0.7.19"
Отправлено zuborg , 14-Окт-08 13:21 
>Вообще-то пробелы в методе гет запрещены и они должны быть заменены клиентом
>на +, а коли клиент дебил, то я бы вообще такой
>запрос клоцал до первого пробела.

разумеется клиент кодирует урл при передаче запроса, nginx получает 'a%20b', но апачу передает 'a b'

"Вышел nginx 0.7.19"
Отправлено Аноним , 14-Окт-08 17:54 
А чего пол-интернета не шумит о таком серьёзном баге, который к тому же должен проявиться сразу?
"Сдаётся мне ты сказочник мил человек ..."(С)
Или давай версию нжЫнкса и как этот баг воспроизвести в студию.
"Вышел nginx 0.7.19"
Отправлено User294 , 14-Окт-08 21:37 
>Или давай версию нжЫнкса и как этот баг воспроизвести в студию.

Так вроде ж написано как воспроизводится?Соответственно если у вас есть апач за нжинксом - можете протестировать что получается.

"Вышел nginx 0.7.19"
Отправлено Стремительный Домкрат , 15-Окт-08 04:06 
А я ещё раз повторяю - не вижу такого! Апач за энджинксом плотно с где-то 0.5.20, при таком баге надо быть виндовс админом чтобы не увидеть опухший http-error.log ... У меня не наблюдается - потому и прошу показать:
uname -a
nginx -V
httpd -V

А тЭорЭтизировать ... давайте уж лучше о бабах :)

"Вышел nginx 0.7.19"
Отправлено zuborg , 15-Окт-08 13:32 
http://www.lexa.ru/nginx-ru/msg18790.html
"Вышел nginx 0.7.19"
Отправлено вс тот же , 15-Окт-08 20:29 
Ага. Спасибо.
"Вышел nginx 0.7.19"
Отправлено zuborg , 16-Окт-08 11:19 
ну что, пробовали воспроизвести ?
"Вышел nginx 0.7.19"
Отправлено User294 , 15-Окт-08 21:00 
>http://www.lexa.ru/nginx-ru/msg18790.html

Кстати у lexa.ru есть какой-то баг =).Скажите, что вы видите вот по этой ссылке? :) http://www.lexa.ru/nginx-ru/msg19731.html

Такое ощущение что у этого Лехи есть довольно уникальный баг.Смахивает на возможность perl-injection через список майл-рассылки.Уникальный случай в мировой практике :)