URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 90832
[ Назад ]

Исходное сообщение
"Обновление http-сервера Apache 2.2.25 и 2.0.65. Прекращение ..."

Отправлено opennews , 14-Июл-13 23:05 
Доступны (http://mail-archives.us.apache.org/mod_mbox/www-announce/201...) корректирующие выпуски прошлых стабильных веток http-сервера Apache - 2.2.25 (http://www.apache.org/dist/httpd/Announcement2.2.html) и 2.0.65 (http://www.apache.org/dist/httpd/Announcement2.0.html), в которых устранена порция накопившихся ошибок (http://apache-mirror.rbc.ru/pub/apache//httpd/CHANGES_2.2.25), среди которых также присутствуют устранения незначительных уязвимостей. В версии 2.0.65 устранено 6 уязвимостей, накопившихся с момента выпуска 2.0.64 в 2010 году. Отмечается, что выпуск 2.0.65 является последним, больше обновлений для ветки 2.0 выпускаться не будет. Всем пользователям Apache 2.0.x рекомендуется перейти на использование ветки 2.2 или 2.4.


В версии 2.2.25 исправлены две актуальные уязвимости: CVE-2013-1862 (http://www.opennet.me/opennews/art.shtml?num=36932) и  CVE-2013-1896. Первая проблема затрагивает модуль mod_rewrite и позволяет удаленному злоумышленнику выполнить произвольную команду в момент просмотра лог-файла администратором сервера. Из-за отсутствия должного экранирования спецсимволов при записи в лог-файл, злоумышленник, при помощи специально оформленных запросов к веб-серверу, может записать в лог управляющие последовательности для терминала, при отображении которых  можно добиться запуска произвольных команд. Вторая уязвимость связана с некорректной обработкой  запросов на слияние  в mod_dav и может привести к инициировании краха серверного процесса при отправке злоумышленником специально оформленных MERGE-запросов.

URL: http://mail-archives.us.apache.org/mod_mbox/www-announce/201...
Новость: http://www.opennet.me/opennews/art.shtml?num=37419


Содержание

Сообщения в этом обсуждении
"Обновление http-сервера Apache 2.2.25 и 2.0.65. Прекращение ..."
Отправлено ip1981 , 14-Июл-13 23:05 
>  CVE-2013-1862

Интересно :-)


"Обновление http-сервера Apache 2.2.25 и 2.0.65. Прекращение ..."
Отправлено Нанобот , 15-Июл-13 09:53 
терминалы, выполняющие произвольные команды через escape-последовательности, в дикой природе уже лет десять не встречаются

"Обновление http-сервера Apache 2.2.25 и 2.0.65. Прекращение ..."
Отправлено Аноним , 15-Июл-13 12:20 
Напрямую выполнять и не нужно - http://www.opennet.me/opennews/art.shtml?num=36619

"Обновление http-сервера Apache 2.2.25 и 2.0.65. Прекращение ..."
Отправлено Аноним , 15-Июл-13 12:21 
достаточно подставить текст и передать символ возврата каретки.

"Обновление http-сервера Apache 2.2.25 и 2.0.65. Прекращение ..."
Отправлено Inome , 15-Июл-13 01:13 
Честно говоря, сейчас этот веб-сервер испытывает спад своей пиковой популярности и всё больше и больше сайтов переводятся под Nginx и ему подобные. Apache же используют в основном те, кто не знает, как конвертировать настройки из .htaccess под другие веб-сервера, или потому-что хостинг предоставляет его по-умолчанию. Лично я пользуюсь Nginx и вполне доволен быстротой его работы :)

"Обновление http-сервера Apache 2.2.25 и 2.0.65. Прекращение ..."
Отправлено Аноним , 15-Июл-13 01:51 
У apache httpd было несколько пиков, которые намекают что может быть и ещё один. Это хорошо видно на графике на news.netcraft.com. Используют же его, либо люди которые либо знают о различиях с nginx, либо те, кто вынужден его использовать по каким-либо причинам.

"Обновление http-сервера Apache 2.2.25 и 2.0.65. Прекращение ..."
Отправлено jOKer , 15-Июл-13 03:11 
На самом деле он этот "спад" частенько провоцирует собственными руками.

Вот свеженький пример: понадобилось мне как-то расположить джанго на виндовом сервере - выбора не было, джанговский модуль на COM-интерфейс 1С-ки замыкался. И стал я искать на чем бы джангу развернуть. Первое что пришло в голову - apache, но случился облом: оказалось что ни mod_python, ни mod_wsgi в поставке нет (http://httpd.apache.org/docs/2.4/mod/), а что бы они появились надо полностью перекомпилить индейца. Пипец....(((( Короче после недолгих размышлений было принято решение развернуть джанго на IIS, а индеец пошел лесом.

А добавили бы в поставку уже скомпиленный mod_wsgi и проблем бы не было. Причем, не было бы не только у питонистов но и у пишуших на руби тоже.

ЗЫ Кстати об WSGI... Твердолобость фанатиков пишущих HTTP-сервера, это вообще что-то с чем-то... Вы только вдумайтесь: ни в одном HTTP-сервере общего назначения не нашлось места для поддержки WSGI "ис коропки". В nginx некоторое время была поддержка uWSGI (которою выдавали за полноценный WSGI!), но теперь нет и ее. Печально все это.


"Обновление http-сервера Apache 2.2.25 и 2.0.65. Прекращение ..."
Отправлено ананим , 15-Июл-13 04:00 
>Вот свеженький пример: понадобилось мне как-то расположить джанго на виндовом сервере - выбора не было, джанговский модуль на COM-интерфейс 1С-ки замыкался.

Лечится изучением мат-части — http://v8.1c.ru/overview/Term_000000545.htm
>Для создания внешних компонентов используется технология Native API – собственный интерфейс системного программирования 1С:Предприятия 8. Она  поддерживает операционные системы Windows и Linux,  и дает возможность создавать внешние компоненты, работающие как под одной, так и под другой операционной системой. Компоненты, созданные по технологии Native API, могут быть подключены в толстом клиенте, в тонком клиенте, в веб-клиенте, внешнем соединении и в сервере приложений.

зыж
>что бы они появились надо полностью перекомпилить индейца. Пипец....после недолгих размышлений было принято решение развернуть джанго на IIS

Не лечится.
Решается заменой прокладки.


"Обновление http-сервера Apache 2.2.25 и 2.0.65. Прекращение ..."
Отправлено jOKer , 15-Июл-13 09:49 
> Лечится изучением мат-части — http://v8.1c.ru/overview/Term_000000545.htm
>>Для создания внешних компонентов используется технология Native API – собственный интерфейс системного программирования 1С:Предприятия 8. Она  поддерживает операционные системы Windows и Linux,  и дает возможность создавать внешние компоненты, работающие как под одной, так и под другой операционной системой. Компоненты, созданные по технологии Native API, могут быть подключены в толстом клиенте, в тонком клиенте, в веб-клиенте, внешнем соединении и в сервере приложений.

Это все слова и не более. А на практике, если надо в 1С передать данные из сетевого приложения, расположенного на другой машине, - приходится писать адаптер (архитектурно - веб-сервис) на чем-то вроде джанго, развертывать его на той же машине что и 1С, и использовать интерфейс COM (а на 64x - еще и с обвязкой DCOM) для передачи данных из адаптера в 1С


"Обновление http-сервера Apache 2.2.25 и 2.0.65. Прекращение ..."
Отправлено ананим , 15-Июл-13 13:05 
Только один вопрос — Вы мне про устриц или кальмаров вот сейчас загнули?

Зыж
На практике бывает только одно — хорошо если быдлoкoдер (это не вам, а вообще) хоть что-то из этого умеет.
Ззыж
А за дком руки бы отбивал.


"Обновление http-сервера Apache 2.2.25 и 2.0.65. Прекращение ..."
Отправлено jOKer , 15-Июл-13 13:19 
Это я про "технологии" от 1С... А в отбивании рук за COM и DCOM мне тоже поучаствовать хотелось бы!:-)

"Обновление http-сервера Apache 2.2.25 и 2.0.65. Прекращение ..."
Отправлено ананим , 15-Июл-13 13:28 
Вот не надо, ок?
И ком — ещё так сяк, а за дком — на кол.

"Обновление http-сервера Apache 2.2.25 и 2.0.65. Прекращение ..."
Отправлено jOKer , 15-Июл-13 16:10 
>Вот не надо, ок?

А собственно почему это "не надо", а?

Я знаю что мне не нравится в COM - низкая скорость инициализации COM-интерфейса - вот что. И я знаю что мне не нравится в DCOM - это, конечно, уязвимость к потерям и искажениям пакетов. Вот за я и готов бить по рукам, тех кто это чудо делал. Это не считая вендор лок, конечно. Потому что за него "на кол" - как бы маловато слегка.

Кроме того, - в случае с 1С, - за DCOM надо бить по рукам раз "дцать" подряд, потому что DCOM понадобился им только для того, что бы не портировать 32-х разрядную COM-библиотеку внешних данных на платформу x64.


"Обновление http-сервера Apache 2.2.25 и 2.0.65. Прекращение ..."
Отправлено ананим , 15-Июл-13 17:34 
Не надо про то, что из линя с апачем никак нельзя связать 1ц.
Причём за приемлемое время. (Про остальные бонусы уже молчу).

"Обновление http-сервера Apache 2.2.25 и 2.0.65. Прекращение ..."
Отправлено jOKer , 15-Июл-13 18:06 
Блиский фиг, конечно можно!

Я же о чем и писал в предыдущих постах! И время получилось приемлемое - три-четыре часа. Но вот только:
- что бы связывать что-то с чем-то по руководствам 1С надо сперва гороху нажраться. Лично для меня одна статья на Хабре стоила всех материалов по сцылке что вы привели
- COM/DCOM - все равно остается говно говном (надеюсь я чувства верующих не оскорбил? А то сейчас это дело подсудное...)
- все эти ухищрения мало имеют общего с сабжем, ибо написать ПО - это одно, а развернуть на продакшене - нечто другое. И я писал не о том как я интегрировал линь с 1С (на самом деле это - банально и совсем не интересно), а о том, почему апач пошел лесом и проиграл IIS на продакшене.


"Обновление http-сервера Apache 2.2.25 и 2.0.65. Прекращение ..."
Отправлено ананим , 15-Июл-13 22:47 
>- что бы связывать что-то с чем-то по руководствам 1С надо сперва гороху нажраться

А что вы хотите? 95% одноэсников винду себе с хрехом по полам поставить не могут.
Но если им разжевать и сделать шаблоны..... лучше индусов. 100%. Проверено.


"Обновление http-сервера Apache 2.2.25 и 2.0.65. Прекращение ..."
Отправлено ананим , 15-Июл-13 22:54 
Зыж 
>Лично для меня одна статья на Хабре стоила всех материалов по сцылке что вы привели

Верно.
Привел.
Но разжёвывать не обещался.  :)
Более того, на 99% ресурсов 1ц-шников было бы в недоумение по поводу натив апи вообще.
Не, блин, они и ком-объект не представляют как работает.
Дать тему к размышлению. Затем тут и хожу.


"Обновление http-сервера Apache 2.2.25 и 2.0.65. Прекращение ..."
Отправлено Аноним , 15-Июл-13 07:13 
> Короче после недолгих размышлений было принято решение развернуть джанго на IIS, а индеец пошел лесом

Недолгие, говоришь? Верю.

А если серьезно, с 1С ты никуда от Microsoft не уйдешь.


"Обновление http-сервера Apache 2.2.25 и 2.0.65. Прекращение ..."
Отправлено Аноним , 15-Июл-13 09:08 
Что, собсно, ставит крест на планах 1С выйти на корпоративный рынок серьезных заказчиков (нет, выйти можно, установить под систему более 20 пользователей, но надежно и комфортно работать - это совсем другое дело). Как говорится, 1С-у "и хочется, и колется, и мама не велит".

"Обновление http-сервера Apache 2.2.25 и 2.0.65. Прекращение ..."
Отправлено jOKer , 15-Июл-13 09:43 
>Недолгие, говоришь? Верю.

А на проекте тебе и не дадут долго размышлять, если что. На проекте, знаешь ли, есть такая штука как план-график и ломать его ну очень не рекомендуется.

И взвешивались варианты просто: на одной чашке весов - разворот ломаной (ибо ни кто не покупает IDE на один раз") VisualStudio, и компиляция mod_wsgi вместе с индейцем до кучи, а на другой - установка пары пакетов в песочницу, дабы бы запустить джангу с IIS, в режиме fastcgi. Второе было несравненно быстрее и проще, - справились за пол- часа где-то.


"Обновление http-сервера Apache 2.2.25 и 2.0.65. Прекращение ..."
Отправлено rshadow , 15-Июл-13 11:07 
"проект" ... высокие слова ... для хомячков. По факту работа сделана быстро и недорого. Если вы понимаете о чем я :-)

"Обновление http-сервера Apache 2.2.25 и 2.0.65. Прекращение ..."
Отправлено jOKer , 15-Июл-13 13:08 
Для кого как. Для вас очевидно невысокая цена - это критерий. А вот для меня критерием скорее является наличие начальной и конечной даты процесса и получение заранее определенных результатов в конце оного. Хм... если вы понимаете о чем я :-)

"Обновление http-сервера Apache 2.2.25 и 2.0.65. Прекращение ..."
Отправлено ананим , 15-Июл-13 13:26 
Дата зависит только от квалификации делающего.
А поскольку это вообще разовая операция, то стоимость владения вообще никто не считал.
У меня вот к примеру актуальные версии уже подготовленного линуха и под 1ц (включая ключи), и под оракл уже созданы шаблонами под виртуалку. При чём под любой гипервизор или бареметал.
Разворачивание — 30 секунд в виртуалку, 5 минут в бареметал.

Зыж
Насколько понял речь шла про 1ц 8 и выше.
Т.к. обмен с 7.7, с её примитивным словарём данных, вообще трудностей не вызывает. Что с mssql, что с dbf.


"Обновление http-сервера Apache 2.2.25 и 2.0.65. Прекращение ..."
Отправлено ананим , 15-Июл-13 13:16 
>А если серьезно, с 1С ты никуда от Microsoft не уйдешь.

Не согласен.
Вопрос умений и навыков делающего.

Зыж
С 7.7 — да, согласен.


"Обновление http-сервера Apache 2.2.25 и 2.0.65. Прекращение ..."
Отправлено Аноним , 15-Июл-13 13:10 
> была поддержка uWSGI (которою выдавали за полноценный WSGI!), но теперь нет
> и ее. Печально все это.

Бедные питонисты, никто не хочет саппортить их кривые поделия.


"Обновление http-сервера Apache 2.2.25 и 2.0.65. Прекращение ..."
Отправлено Demo , 15-Июл-13 14:20 
> Бедные питонисты, никто не хочет саппортить их кривые пoделия.

То же можно сказать о Ruby.


"Обновление http-сервера Apache 2.2.25 и 2.0.65. Прекращение ..."
Отправлено ALex_hha , 15-Июл-13 09:57 
> И взвешивались варианты просто: на одной чашке весов - разворот ломаной

скомпилировать можно было и дома на express edition, было бы желание ;)


"Обновление http-сервера Apache 2.2.25 и 2.0.65. Прекращение ..."
Отправлено Аноним , 15-Июл-13 13:13 
> скомпилировать можно было и дома на express edition, было бы желание ;)

Чтобы что-то скомпилить в винде - желания потребуется очень дофига. Ибо стараниями MS этот процесс сделан крайне геморным. Например, в отличие от пингвина там нельзя 1 командой поставить все что надо для пересборки "вот этой программы". А самолично мyдoxаться с разруливанием пары десятков зависимостей - приключение очень на любителя.



"Обновление http-сервера Apache 2.2.25 и 2.0.65. Прекращение ..."
Отправлено ананим , 15-Июл-13 13:14 
Нда-а...
А я вот проги для вантуза (да-да, бывает) в кросдеве с линуха компилю.
И уж что-что, а апач компилится легко и не принуждённо.

"Обновление http-сервера Apache 2.2.25 и 2.0.65. Прекращение ..."
Отправлено Demo , 15-Июл-13 14:22 

> И уж что-что, а апач компилится легко и не принуждённо.

Опечатка?


"Обновление http-сервера Apache 2.2.25 и 2.0.65. Прекращение ..."
Отправлено Аноним , 17-Июл-13 10:18 
Да апачи совсем что то расслабился, релиз вышел еще 9 числа, а сообщили об этом только сегодня, сложно было страницу новостей обновить?
Так же обленились, под винду бинарники собирать.
С учетом того что ModSecurity запилили и под Nginx, можно смело съезжать с апача.