Вышел релиз http-сервера Apache 2.2.15 (http://www.apache.org/dist/httpd/) в котором устранены 4 уязвимости и внесено (http://www.apache.org/dist/httpd/CHANGES_2.2.15) 28 исправлений.
Исправленные уязвимости:- В модуль mod_ssl добавлен код, реализующий новый метод (RFC 5746, для работы требуется наличие OpenSSL 0.9.8m) безопасного выполнения операций согласования для установленного соединения (renegotiation), что делает невозможным проведение атаки (http://www.opennet.me/opennews/art.shtml?num=24132) по подстановке данных в устанавливаемое между двумя точками защищенное соединение. Вернуться к использованию старого алгоритма можно через использование опции 'SSLInsecureRenegotiation'.
- Функция "ap_proxy_ajp_request()" из состава модуля mod_proxy_ajp при определенных обстоятельствах возвращает код ошибки (HTTP_INTERNAL_SERVER_ERROR), что может быть использовано злоумышленником для вызова отказа в обслуживании через отправку специальным образом оформленных запросов, перев...
URL: http://www.apache.org/dist/httpd/CHANGES_2.2.15
Новость: http://www.opennet.me/opennews/art.shtml?num=25696
пых 5.2.13 win32 покрошился. в нём openssl 0.9.8.11(k), а в апаче свежий .13(m)
Да... а кто-то говорил что в винде все просто и без геморроя. Но пакетный манагер в любом нормальном линухе с хоть немного адекватными майнтайнерами таких проблем не допустит как класса.
???. Допустит. Именно как класса. Сейчас - вероятность меньше, но есть.
У wind'ы проблема просто другого уровня. Но в linux на данный момент пока не все чики-чики.
Чего уж скрывать?!
----
PS. Особенно, касается linux-ов уровня ubuntu. Чтобы решить эту проблему (несовместимость версий сторонних библиотек), - нужно применять глобальный подход. А пока каждый решает - как могет.
---
А RH-подобных систем - чуть получше. Но проблемы все одно - пока есть и будут, - пока linux'ы не вырабатуют единый подход к решению подобных траблов...
>У wind'ы проблема просто другого уровня.При чём здесь вообще проблемы win? Обе программы запускаются без проблем, но налицо бинарная несовместимость между _сторонним_ сервером apache и _сторонним_ модулем к нему php по причине смены версии _сторонней_ библиотеки openssl.
В общем случае проблема решаема. Однако в данной комбинации, попробовав установить вышеозначенные предварительно скомпилированные пакеты, рискуешь нарваться на краш. Проблемными расширениями оказались php_curl, php_openssl.
На win-машине, в частности, занимаюсь разработкой под php. Обнаружив такую бяку, решил черкнуть пару слов каментов в надежде, что это сэкономит кому-нибудь несколько минут времени. Но это же бля опеннет, поэтому реакция соответствующая. Гордись, максим, в т.ч. твоя заслуга
> При чём здесь вообще проблемы win?Догадайтесь с трех раз. Наверное при том что у других систем есть средства сделать либу доступную всем и потому никто не таскает 100500 версий одной и той же либы. Почему-то в пингвинах с пакетными манагерами опач и пых юзают 1 и ту же либу, которая имеется в 1 экземпляре а майнтайнеры следят чтобы она еще и не дырявая была. В итоге - да, можно сэкономить себе дохрена времени. Если не пользоваться системами с тупыми граблями, например.
> Гордись, максим, в т.ч. твоя заслуга
Да просто вы тут очень кстати попались как наглядная иллюстрация.
>???. Допустит. Именно как класса. Сейчас - вероятность меньше, но есть.При мало-мальски вменяемых майнтайнерах такого не бывает, извините.
>У wind'ы проблема просто другого уровня.
Да, конечно. Там тупо нет разделения на модули, разбиения на пакеты и в итоге наблюдается просто большая помойка где все свалено в кучу а "shared" либы - нифига не shared потому что все проги их таскают сами, только для себя и никак иначе (стандартных методов попросить у системы вон ту либу или сделать вон ту либу доступной всем - по сути нет). Апдейтить либы будет тоже, разумеется, Пушкин (все-равно уследить за 100500 копий той или иной либы нереально, особенно если ее статически влинковали). Поэтому до сих пор можно найти виндузятников у которых дырявая версия zlib, openssl, libpng и чего там еще в какой-то необновленной программке. А потом виндузятники искренне удивляются - "ой, откуда же в моей системе столько малвари?!". Ну вот оттуда, блин. То что есть в виндозе - не соответствует современным реалиям. Делалось в девяностые, когда интернетов и хаксоров в них - не было.
>Но в linux на данный момент пока не все чики-чики.
"Доктор Ватсон не заметил явных проблем". Если юзать в режиме "юзверга" - проблем нет как класса. Если в режиме "разработчика", "экспериментатора" и прочая - ну вы знали на что шли и там все претензии к себе и своим рукам сугубо.
>PS. Особенно, касается linux-ов уровня ubuntu.
Что-то не заметил в убунтах никаких проблем с версиями библиотек. Если ставится опач то уж наверное у пыха и опача юзается одинаковый openssl, блин. А не таскается 100500 разных.
>нужно применять глобальный подход.
Репозитории называются. Есть одна версия SSLной либы. И все юзают ее, фигле. Вполне себе решение.
>А RH-подобных систем - чуть получше.
Чем? Там принципиально иная логика управления пакетами?
>не вырабатуют
Чего-чего? Не надо нам багов, пожалуйста :)
в догонку:
суть: linux'овые манагеры (e.g. yum) тоже просто обломаются при попытке установить несовместимое... Спустя пару днев - починят....