URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 63389
[ Назад ]

Исходное сообщение
"Релиз Apache 1.3.42 и 2.3.5, ветка 1.3.x прекращает свое сущ..."

Отправлено opennews , 29-Янв-10 17:33 
Увидел свет релиз http-сервера Apache 1.3.42 (http://httpd.apache.org/dev/dist/) в котором устранена (http://httpd.apache.org/dev/dist/CHANGES_1.3.42) критическая уязвимость (http://archives.neohapsis.com/archives/fulldisclosure/2010-0...) в mod_proxy, вызванная возможностью совершения целочисленного переполнения в функции "ap_proxy_send_fb(). Успешная эксплуатация может позволить злоумышленнику выполнить свой код на сервере, работающем в режиме прокси. Успешное проведение атаки возможно только на 64-разрядных системах, на которых тип данных "long" превышает по размеру тип "int".


Разработчики сообщили о том, что Apache 1.3.42 является последним релизом серии 1.3.x, но в случае обнаружения критических уязвимостей патчи в будущем можно будет загрузить на странице www.apache.org/dist/httpd/patches (http://www.apache.org/dist/httpd/patches/). Пользователям Apache 1.3.x рекомендуется провести переход на версию Apache 2.2.14.


Одновременно вышел релиз Apache 2.3.5 (http://http...

URL: http://httpd.apache.org/dev/dist/CHANGES_1.3.42
Новость: http://www.opennet.me/opennews/art.shtml?num=25215


Содержание

Сообщения в этом обсуждении
"Релиз Apache 1.3.42 и 2.3.5, ветка 1.3.x прекращает свое сущ..."
Отправлено Аноним , 29-Янв-10 17:33 
Дропнуть развитие проекта на котором держится как минимум треть веба ...
А всего вчера казалось что может быть хуже того что Солнце проглотили? - а вот нате ...
Это мир катится в СГ!(С)

"Релиз Apache 1.3.42 и 2.3.5, ветка 1.3.x прекращает свое сущ..."
Отправлено Aquarius , 29-Янв-10 17:43 
> Дропнуть развитие проекта на котором держится как минимум треть веба ...
> А всего вчера казалось что может быть хуже того что Солнце проглотили? - а вот нате ...
> Это мир катится в СГ!(С)

его проглотили? в смысле, исходники удалят с серверов, зеркал и со всех компьютеров всего мира? дальнейшее использование будет преследоваться по закону?
куда его развивать?


"Релиз Apache 1.3.42 и 2.3.5, ветка 1.3.x прекращает свое сущ..."
Отправлено ПринцЧорнойТьмы , 29-Янв-10 19:15 
Написали же что в случае обнаружения уязвимостей будут фиксить.

"Релиз Apache 1.3.42 и 2.3.5, ветка 1.3.x прекращает свое сущ..."
Отправлено Aquarius , 29-Янв-10 17:39 
возможно ли (самостоятельное) портирование mod_proxy_fcgi в ветку 2.2?

"Релиз Apache 1.3.42 и 2.3.5, ветка 1.3.x прекращает свое сущ..."
Отправлено Василий , 29-Янв-10 17:58 
#  Новый модуль mod_proxy_fcgi, с поддержкой протокола FastCGI для создания обработчиков запросов, проходящих через mod_proxy;

А как это работает? Есть ли смысл в использовании mod_proxy_fcgi?


"Релиз Apache 1.3.42 и 2.3.5, ветка 1.3.x прекращает свое сущ..."
Отправлено Аноним , 29-Янв-10 18:06 
>А как это работает? Есть ли смысл в использовании mod_proxy_fcgi?

Проксирует запросы к внешнему FastCGI серверу.


"Релиз Apache 1.3.42 и 2.3.5, ветка 1.3.x прекращает свое сущ..."
Отправлено Василий , 29-Янв-10 18:17 
>>А как это работает? Есть ли смысл в использовании mod_proxy_fcgi?
>
>Проксирует запросы к внешнему FastCGI серверу.

А если по повторному запросу ответ на FastCGI сервере изменён, но не выдан клиенту из-за того, запрос запроксирован и не достиг FastCGI сервера? Хотя это наверно как-то можно регулировать?


"Релиз Apache 1.3.42 и 2.3.5, ветка 1.3.x прекращает свое сущ..."
Отправлено uldus , 29-Янв-10 22:29 
>А если по повторному запросу ответ на FastCGI сервере изменён, но не
>выдан клиенту из-за того, запрос запроксирован и не достиг FastCGI сервера?
>Хотя это наверно как-то можно регулировать?

Вы путайте проксирование и кеширование.


"Релиз Apache 1.3.42 и 2.3.5, ветка 1.3.x прекращает свое сущ..."
Отправлено аноним , 29-Янв-10 18:46 
Давно пора. В 1.3 смысла нет уже несколько лет.

"Релиз Apache 1.3.42 и 2.3.5, ветка 1.3.x прекращает свое сущ..."
Отправлено Василий , 29-Янв-10 19:02 
>Давно пора. В 1.3 смысла нет уже несколько лет.

RusApache дальше 1.3 ж вроде не пошёл. Автоопределение русских кодировок в 2.* как-нибудь делается? Или такой проблемы там нет?


"Релиз Apache 1.3.42 и 2.3.5, ветка 1.3.x прекращает свое сущ..."
Отправлено ПринцЧорнойТьмы , 29-Янв-10 19:17 
> RusApache дальше 1.3 ж вроде не пошёл. Автоопределение русских кодировок в 2.* как-нибудь делается? Или такой проблемы там нет?

Facepalm.svg

Ага, и на сайтах сверху такую панельку со ссылками вешать: KOI-8 | WIN1251 | CP866 | ISO8859-5 | Транслит


"Релиз Apache 1.3.42 и 2.3.5, ветка 1.3.x прекращает свое сущ..."
Отправлено KosmonavtMIPT , 29-Янв-10 21:38 
Разве нельзя сделать всё в UTF-8 и радоваться?

"Релиз Apache 1.3.42 и 2.3.5, ветка 1.3.x прекращает свое сущ..."
Отправлено Hety , 30-Янв-10 19:14 
Хороший вопрос. UTF-8 - и без вариантов. Кому нужны костыли в виде кодировок?

"Релиз Apache 1.3.42 и 2.3.5, ветка 1.3.x прекращает свое сущ..."
Отправлено аноним , 29-Янв-10 19:56 
> RusApache дальше 1.3 ж вроде не пошёл.

И преогромнейшее ему за это спасибо!


"Apache 1.3"
Отправлено Michael Shigorin , 31-Янв-10 00:13 
>Давно пора. В 1.3 смысла нет уже несколько лет.

man free, man top и сопоставьте потребление памяти.


"Apache 1.3"
Отправлено аноним , 01-Фев-10 10:21 
Если у вас не хватает памяти и не нужны фичи apache 2.x, давно пора перейти на lighttpd. Apache 1.3 - ни рыба ни мясо, и жрет, что называется, по-апачевски, и никаких нужных фич не умеет.

"Apache 1.3"
Отправлено Michael Shigorin , 08-Фев-10 16:06 
>Если у вас не хватает памяти и не нужны фичи apache 2.x,
>давно пора перейти на lighttpd.

Спасибо, я лучше пешком постою.  Данное чудо в довольно взрослом возрасте чихало от файликов с плюсом в имени.

>Apache 1.3 - ни рыба ни мясо

Это UNIX webserver, а не студенческая попытка слепить рыбомясу в виде Apache 2.0 (одно изменение семантики времени реквеста с секунд в миллисекунды без изменения названия чего стоит, про безопасность молчу уже).

>и жрет, что называется, по-апачевски, и никаких нужных фич не умеет.

Надо же, пол-интернета мучалось от отсутствия фич, пока не пришёл аноним и не зарезал правду-матку.

apache-1.3 на пару с nginx -- очень даже работоспособная связка, каждый хорош в своём амплуа.  И я, в отличие от Вас, судя по всему, на ём работаю.


"Apache 1.3"
Отправлено tor , 10-Фев-10 17:58 
Лучше сразу на nginx + php-fpm

"Релиз Apache 1.3.42 и 2.3.5, ветка 1.3.x прекращает свое сущ..."
Отправлено mvalery , 29-Янв-10 20:09 
Намекают, что надо переходить на Apache 2.
Однако разработчики PHP не гарантируют стабильную работу PHP с Apache 2.
И что делать? Ведь очень много сайтов бегут на платформе AMP - Apache+MySQL+PHP.
Кстати, с MySQL тоже пока не всё ясно.

"Релиз Apache 1.3.42 и 2.3.5, ветка 1.3.x прекращает свое сущ..."
Отправлено Василий , 29-Янв-10 20:24 
>Намекают, что надо переходить на Apache 2.
>Однако разработчики PHP не гарантируют стабильную работу PHP с Apache 2.
>И что делать? Ведь очень много сайтов бегут на платформе AMP -
>Apache+MySQL+PHP.
>Кстати, с MySQL тоже пока не всё ясно.

А какое отношение Mysql имеет непосредственно к апачу?


"Релиз Apache 1.3.42 и 2.3.5, ветка 1.3.x прекращает свое сущ..."
Отправлено Аноним , 29-Янв-10 21:34 
Ровно такое же, какое PHP к языкам программирования - иногда оказываются установлены в пределах одного жесткого диска и даже (sic!) одной песочницы.

"Релиз Apache 1.3.42 и 2.3.5, ветка 1.3.x прекращает свое сущ..."
Отправлено Аноним , 29-Янв-10 21:52 
> Однако разработчики PHP не гарантируют стабильную работу PHP с Apache 2.

Это, мягко говоря, очень устаревшая информация. На всякий, напомню: php4 тоже умер.


"Релиз Apache 1.3.42 и 2.3.5, ветка 1.3.x прекращает свое сущ..."
Отправлено ПринцЧорнойТьмы , 29-Янв-10 22:20 
> Однако разработчики PHP не гарантируют стабильную работу PHP с Apache 2.

Насколько я знаю предупреждают о проблемах только с Apache 2.0.x и только под виндой.


"Релиз Apache 1.3.42 и 2.3.5, ветка 1.3.x прекращает свое сущ..."
Отправлено cvsup , 30-Янв-10 00:32 
> Apache 1.3 was designed for Unix OS variants. [..] Apache 1.3 is not designed for these [non-Unix ] platforms. [..] Users of any non-Unix ports are strongly cautioned to move to Apache 2.

http://www.apache.org/dist/httpd/Announcement1.3.html


"Релиз Apache 1.3.42 и 2.3.5, ветка 1.3.x прекращает свое сущ..."
Отправлено Анонимный трус , 29-Янв-10 21:12 
Интересно, а в OpenBSD что сделают?
Они ведь до сих пор 1.3 используют.

"Релиз Apache 1.3.42 и 2.3.5, ветка 1.3.x прекращает свое сущ..."
Отправлено Анонимусы , 29-Янв-10 21:28 
Напишут свой OpenApache с шахматами и поэтессами. У них это хорошо получается.

"Релиз Apache 1.3.42 и 2.3.5, ветка 1.3.x прекращает свое сущ..."
Отправлено Полиграф Полиграфыч , 29-Янв-10 22:19 
Они и так тот апач который у них стоит 1.3.29 считай что уже на половину переписали.

"Релиз Apache 1.3.42 и 2.3.5, ветка 1.3.x прекращает свое сущ..."
Отправлено PereresusNeVlezaetBuggy , 30-Янв-10 01:22 
>Интересно, а в OpenBSD что сделают?
>Они ведь до сих пор 1.3 используют.

Apache HTTPD Server 1.3 там в базе, 2.2 доступен из портов. Кстати, 1.3 там действительно малость допилили «под себя», при этом патчи по безопасности и надёжности, разумеется, синкали.


"Релиз Apache 1.3.42 и 2.3.5, ветка 1.3.x прекращает свое сущ..."
Отправлено idkfa , 30-Янв-10 10:02 
а зачем им что-то делать? разработку и поддержку их httpd никто не прекращал.