URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 64519
[ Назад ]

Исходное сообщение
"Вышел корректирующий релиз http-сервера Apache 2.2.15"

Отправлено opennews , 07-Мрт-10 00:46 
Вышел релиз http-сервера Apache 2.2.15 (http://www.apache.org/dist/httpd/) в котором устранены 4 уязвимости и внесено (http://www.apache.org/dist/httpd/CHANGES_2.2.15) 28 исправлений.


Исправленные уязвимости:

-  В модуль mod_ssl добавлен код, реализующий новый метод (RFC 5746, для работы требуется наличие OpenSSL 0.9.8m) безопасного выполнения операций согласования для установленного соединения (renegotiation), что делает невозможным проведение атаки (http://www.opennet.me/opennews/art.shtml?num=24132) по подстановке данных в устанавливаемое между двумя точками защищенное соединение. Вернуться к использованию старого алгоритма можно через использование опции 'SSLInsecureRenegotiation'.

-  Функция "ap_proxy_ajp_request()" из состава модуля mod_proxy_ajp при определенных обстоятельствах возвращает код ошибки (HTTP_INTERNAL_SERVER_ERROR), что может быть использовано злоумышленником для вызова отказа в обслуживании через отправку специальным образом оформленных запросов, перев...

URL: http://www.apache.org/dist/httpd/CHANGES_2.2.15
Новость: http://www.opennet.me/opennews/art.shtml?num=25696


Содержание

Сообщения в этом обсуждении
"Вышел корректирующий релиз http-сервера Apache 2.2.15"
Отправлено аноним , 07-Мрт-10 00:46 
пых 5.2.13 win32 покрошился. в нём openssl 0.9.8.11(k), а в апаче свежий .13(m)

"Вышел корректирующий релиз http-сервера Apache 2.2.15"
Отправлено User294 , 07-Мрт-10 07:02 
Да... а кто-то говорил что в винде все просто и без геморроя. Но пакетный манагер в любом нормальном линухе с хоть немного адекватными майнтайнерами таких проблем не допустит как класса.

"Вышел корректирующий релиз http-сервера Apache 2.2.15"
Отправлено konst , 07-Мрт-10 22:39 
???. Допустит. Именно как класса. Сейчас - вероятность меньше, но есть.
У wind'ы проблема просто другого уровня. Но в linux на данный момент пока не все чики-чики.
Чего уж скрывать?!
----
PS. Особенно, касается linux-ов уровня ubuntu. Чтобы решить эту проблему (несовместимость версий сторонних библиотек), - нужно применять глобальный подход. А пока каждый решает - как могет.
---
А RH-подобных систем - чуть получше. Но проблемы все одно - пока есть и будут, - пока linux'ы не вырабатуют единый подход к решению подобных траблов...

"Вышел корректирующий релиз http-сервера Apache 2.2.15"
Отправлено аноним , 08-Мрт-10 02:35 
>У wind'ы проблема просто другого уровня.

При чём здесь вообще проблемы win? Обе программы запускаются без проблем, но налицо бинарная несовместимость между _сторонним_ сервером apache и _сторонним_ модулем к нему php по причине смены версии _сторонней_ библиотеки openssl.
В общем случае проблема решаема. Однако в данной комбинации, попробовав установить вышеозначенные предварительно скомпилированные пакеты, рискуешь нарваться на краш. Проблемными расширениями оказались php_curl, php_openssl.
На win-машине, в частности, занимаюсь разработкой под php. Обнаружив такую бяку, решил черкнуть пару слов каментов в надежде, что это сэкономит кому-нибудь несколько минут времени. Но это же бля опеннет, поэтому реакция соответствующая. Гордись, максим, в т.ч. твоя заслуга


"Вышел корректирующий релиз http-сервера Apache 2.2.15"
Отправлено User294 , 08-Мрт-10 05:03 
> При чём здесь вообще проблемы win?

Догадайтесь с трех раз. Наверное при том что у других систем есть средства сделать либу доступную всем и потому никто не таскает 100500 версий одной и той же либы. Почему-то в пингвинах с пакетными манагерами опач и пых юзают 1 и ту же либу, которая имеется в 1 экземпляре а майнтайнеры следят чтобы она еще и не дырявая была. В итоге - да, можно сэкономить себе дохрена времени. Если не пользоваться системами с тупыми граблями, например.

> Гордись, максим, в т.ч. твоя заслуга

Да просто вы тут очень кстати попались как наглядная иллюстрация.


"Вышел корректирующий релиз http-сервера Apache 2.2.15"
Отправлено User294 , 08-Мрт-10 04:25 
>???. Допустит. Именно как класса. Сейчас - вероятность меньше, но есть.

При мало-мальски вменяемых майнтайнерах такого не бывает, извините.

>У wind'ы проблема просто другого уровня.

Да, конечно. Там тупо нет разделения на модули, разбиения на пакеты и в итоге наблюдается просто большая помойка где все свалено в кучу а "shared" либы - нифига не shared потому что все проги их таскают сами, только для себя и никак иначе (стандартных методов попросить у системы вон ту либу или сделать вон ту либу доступной всем - по сути нет). Апдейтить либы будет тоже, разумеется, Пушкин (все-равно уследить за 100500 копий той или иной либы нереально, особенно если ее статически влинковали). Поэтому до сих пор можно найти виндузятников у которых дырявая версия zlib, openssl, libpng и чего там еще в какой-то необновленной программке. А потом виндузятники искренне удивляются - "ой, откуда же в моей системе столько малвари?!". Ну вот оттуда, блин. То что есть в виндозе - не соответствует современным реалиям. Делалось в девяностые, когда интернетов и хаксоров в них - не было.

>Но в linux на данный момент пока не все чики-чики.

"Доктор Ватсон не заметил явных проблем". Если юзать в режиме "юзверга" - проблем нет как класса. Если в режиме "разработчика", "экспериментатора" и прочая - ну вы знали на что шли и там все претензии к себе и своим рукам сугубо.

>PS. Особенно, касается linux-ов уровня ubuntu.

Что-то не заметил в убунтах никаких проблем с версиями библиотек. Если ставится опач то уж наверное у пыха и опача юзается одинаковый openssl, блин. А не таскается 100500 разных.

>нужно применять глобальный подход.

Репозитории называются. Есть одна версия SSLной либы. И все юзают ее, фигле. Вполне себе решение.

>А RH-подобных систем - чуть получше.

Чем? Там принципиально иная логика управления пакетами?

>не вырабатуют

Чего-чего? Не надо нам багов, пожалуйста :)


"Вышел корректирующий релиз http-сервера Apache 2.2.15"
Отправлено konst , 07-Мрт-10 22:42 
в догонку:
суть: linux'овые манагеры (e.g. yum) тоже просто обломаются при попытке установить несовместимое... Спустя пару днев - починят....