Представлено (http://nginx.org/#2012-04-12) обновление стабильной и экспериментальной веток http-сервера nginx - 1.0.15 (http://nginx.org/en/CHANGES-1.0) и 1.1.19 (http://nginx.org/en/CHANGES), в которых устранена опасная уязвимость (http://nginx.org/en/security_advisories.html) в модуле ngx_http_mp4_module (http://nginx.org/ru/docs/http/ngx_http_mp4_module.html), используемом для организации потокового вещания из файлов в формате H.264/AAC. Уязвимость позволяет организовать переполнение буфера и теоретически выполнить свой код на сервере при обработке модулем ngx_http_mp4_module специально оформленного MP4-файла. По умолчанию данный модуль отключен и собирается только при явном указании сборочной опции "--with-http_mp4_module".URL: http://nginx.org/#2012-04-12
Новость: http://www.opennet.me/opennews/art.shtml?num=33588
Неделя серьёзных уязвимостей?
Модуль для mp4 который не из коробки тоже уязвим?
Так это тот модуль как раз и есть вроде как. Он не собирается по дефолту но в комплекте есть.
Я как раз и говорю про модуль который НЕ идёт в комплекте с нгингсом и был до и после того как появилась опция сборки для стриминга mp4. У него и опций настройки то нет особо http://h264.code-shop.com/trac/wiki/Mod-H264-Streaming-Nginx... в отличии от того что в комплекте.
Интересно, есть сервисы которые позволяют показывать видео загруженное и обработанное пользователем без предварительной конвертации на сервере?
Да. NFS.
А также FTP, HTTP и SAMBA.
> А также FTP, HTTP и SAMBA.торренты можно приспособить, если умудриться последовательно скачивать
> торренты можно приспособить, если умудриться последовательно скачиватьНа уровне логики протокола никакой особой проблемы это сделать - нет. Просто стая будет весьма деградированной - развалится на "кластеры" из качающие примерно в одном и том же месте, почти не обменивающиеся частями с остальными.
Можно даже с подпоркой http-сидами. В общем то протокол достаточно гибок чтобы позволять и такое в том числе :)
"Мсье знает толк в извращениях." (с)