В новом выпуске высокопроизводительного кэширующего прокси-сервера Apache Traffic Server 3.0.4 (http://trafficserver.apache.org/), разрабатываемого фондом Apache, устранена (http://mail-archives.apache.org/mod_mbox/www-announce/201203...) критическая уязвимость (https://www.cert.fi/en/reports/2012/vulnerability612884.html), позволяющая удалённому злоумышленнику организовать выполнение кода на сервере через передачу запроса со специально оформленным содержимым http-заголовка "Host:".
Проблеме подвержены все ранее выпущенные версии Apache Traffic Server, включая экспериментальную ветку 3.1.x, для которой также выпущено корректирующее обновление 3.1.3.URL: http://mail-archives.apache.org/mod_mbox/www-announce/201203...
Новость: http://www.opennet.me/opennews/art.shtml?num=33449
Может кто сказать как оно по сравнению со сквидом?
ATS намного быстрее сквида - время отклика меньше, вплоть до порядка разницы, и лучше масштабируемость на большую нагрузку - хорошо параллелится, в отличие от сквида. Он обгоняет даже haproxy по времени отклика (и намного по фичам).
В то же время, кроме производительности, сквид не менее, и даже более фичаст, более распространен и прост в развертывании. Так что если сквида по скорости хватает, на ATS смотреть не нужно. ATS - это под очень большую нагрузку.http://www.scribd.com/doc/37301205/Apache-Traffic-Server-HTT... - неплохое сравнение ATS и других кэширующих серверов.
а на сколько он проц и память ест?
а то мне достался почтовик старый (на сюзе 8) + сквид там стоит
в инет ходит около 50 человек и обработка спама - лоад эверейдж постоянно на 0.6-0.8
потихоньку перевожу на дебиан и железо поновее
--
или АТС в данном случае будет как из пушки по воробьям?
и лучше руки из Ж вынуть и правильно настроить сквид? =D
мне кажется им не сквид менять надо а nginx.
>лоад эверейдж постоянно на 0.6-0.8Поставить дополнительный кулер :))
Это не только Apache, но и TM, TLP и cloud services! А ликёро-водочный джавва завод сегодня нарядов не прислал...
А вот меня больше интересует другое - каким местом нужно было парсить содержимое заголовка чтобы создать дырку в виде выполнения кода?"Осчучение" что такие дырки вносят намерянно.
>...каким местом нужно было...Каким место нужно думать, чтобы рождались ТАКИЕ вопросы?
А напиши-ка, милдруг, самостоятельно скриптец хотя бы. Строк на 50?
Ну, например, обработку файлопомойки.
Пишу на С/C++, в том числе и парсеры всякие.в свое время баловался - писал примитивный вебсервер, сам по себе http примитивный протокол вида
GET /url HTTP/1.1
Host: virt-ser.ku.ku\r\n\
Header1: val1\r\n\
Header2: val2\r\n\
\r\n\
... body ...Вот потому меня и интересует как так можно было распарсить?
> А вот меня больше интересует другое - каким местом нужно было парсить
> содержимое заголовка чтобы создать дырку в виде выполнения кода?С или С++-ным ;)))
Я что то не могу найти, может кто подскажет... Есть ли в нём поддержка pop3 и smtp? Если нет то может под squid какой нибудь костыль бывает? А то уже задолбало натом эти порты пробрасывать.
А что там костылить под сквидом то? Направление решения - разрешить connect на эти порты (вписать в safe_ports или safe_ssl_ports ?).
Не там ищите, http://nginx.org/ru/#mail_proxy_server_features - самое то
Сквид для почты называется постфиксом. Или ему подобными.
>А что там костылить под сквидом то? Направление решения - разрешить connect на эти порты (вписать в safe_ports или safe_ssl_ports ?).Что то у меня ничего вразумительного так и не вышло, таймаут соединения и всё. Наверное чё-то с руками у меня не так)))
>Не там ищите, http://nginx.org/ru/#mail_proxy_server_features - самое то
Интересный вариант. Но опять же для его функционирования необходим локальный SMTP-сервер, а мне нужно просто перенаправлять запросы пользователей по 25 и 110 порту во внешний мир и немного резать им скорость по этим портам(чтоб общий трафик не сильно нагружался в пики прихода больших сообщений.
>Сквид для почты называется постфиксом. Или ему подобными.
Вот скажи. Зачем поднимать Postfix ради того что бы пересылать почту с пары машин в сети?
> Что то у меня ничего вразумительного так и не вышло, таймаут соединения и всё. Наверное
> чё-то с руками у меня не так)))Так клиенту тоже надо объяснить что ему теперь через проксю надо ломиться. А большинство невэб клиентов этого не умеют. Например, я пускаю ssh через corkscrew на сквид и оттуда в мир. Наверно это не проще чем нат поднимать.
>Так клиенту тоже надо объяснить что ему теперь через проксю надо ломиться. А большинство невэб клиентов этого не умеют. Например, я пускаю ssh через corkscrew на сквид и оттуда в мир. Наверно это не проще чем нат поднимать.Сомневаюсь что клиенту есть какое то дело как оно работает до тех пор пока оно работает. Я не разу не слышал вопрос "А как у нас почта отправляется, напрямую или через прокси?". Моё дело всё настроить так чтоб клиент вопросов не задавал, просто работал беззаботно и всё.
Под клиентом подразумевается софт, который должен работать через проксю. Речь про то что не каждый софт такое позволяет.