форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Вышел корректирующий релиз http-сервера Apache 2.2.15"		+/–
Сообщение от opennews on 07-Мрт-10, 00:46
Вышел релиз http-сервера Apache 2.2.15 (http://www.apache.org/dist/httpd/) в котором устранены 4 уязвимости и внесено (http://www.apache.org/dist/httpd/CHANGES_2.2.15) 28 исправлений. Исправленные уязвимости: -  В модуль mod_ssl добавлен код, реализующий новый метод (RFC 5746, для работы требуется наличие OpenSSL 0.9.8m) безопасного выполнения операций согласования для установленного соединения (renegotiation), что делает невозможным проведение атаки (http://www.opennet.me/opennews/art.shtml?num=24132) по подстановке данных в устанавливаемое между двумя точками защищенное соединение. Вернуться к использованию старого алгоритма можно через использование опции 'SSLInsecureRenegotiation'. -  Функция "ap_proxy_ajp_request()" из состава модуля mod_proxy_ajp при определенных обстоятельствах возвращает код ошибки (HTTP_INTERNAL_SERVER_ERROR), что может быть использовано злоумышленником для вызова отказа в обслуживании через отправку специальным образом оформленных запросов, перев... URL: http://www.apache.org/dist/httpd/CHANGES_2.2.15 Новость: http://www.opennet.me/opennews/art.shtml?num=25696
Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Вышел корректирующий релиз http-сервера Apache 2.2.15"		–3 +/–
Сообщение от аноним on 07-Мрт-10, 00:46
пых 5.2.13 win32 покрошился. в нём openssl 0.9.8.11(k), а в апаче свежий .13(m)
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	2. "Вышел корректирующий релиз http-сервера Apache 2.2.15"		–2 +/–
	Сообщение от User294 (ok) on 07-Мрт-10, 07:02
	Да... а кто-то говорил что в винде все просто и без геморроя. Но пакетный манагер в любом нормальном линухе с хоть немного адекватными майнтайнерами таких проблем не допустит как класса.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	4. "Вышел корректирующий релиз http-сервера Apache 2.2.15"		+/–
	Сообщение от konst (??) on 07-Мрт-10, 22:39
	???. Допустит. Именно как класса. Сейчас - вероятность меньше, но есть. У wind'ы проблема просто другого уровня. Но в linux на данный момент пока не все чики-чики. Чего уж скрывать?! ---- PS. Особенно, касается linux-ов уровня ubuntu. Чтобы решить эту проблему (несовместимость версий сторонних библиотек), - нужно применять глобальный подход. А пока каждый решает - как могет. --- А RH-подобных систем - чуть получше. Но проблемы все одно - пока есть и будут, - пока linux'ы не вырабатуют единый подход к решению подобных траблов...
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	6. "Вышел корректирующий релиз http-сервера Apache 2.2.15"		+/–
	Сообщение от аноним on 08-Мрт-10, 02:35
	>У wind'ы проблема просто другого уровня. При чём здесь вообще проблемы win? Обе программы запускаются без проблем, но налицо бинарная несовместимость между _сторонним_ сервером apache и _сторонним_ модулем к нему php по причине смены версии _сторонней_ библиотеки openssl. В общем случае проблема решаема. Однако в данной комбинации, попробовав установить вышеозначенные предварительно скомпилированные пакеты, рискуешь нарваться на краш. Проблемными расширениями оказались php_curl, php_openssl. На win-машине, в частности, занимаюсь разработкой под php. Обнаружив такую бяку, решил черкнуть пару слов каментов в надежде, что это сэкономит кому-нибудь несколько минут времени. Но это же бля опеннет, поэтому реакция соответствующая. Гордись, максим, в т.ч. твоя заслуга
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	8. "Вышел корректирующий релиз http-сервера Apache 2.2.15"		+/–
	Сообщение от User294 (ok) on 08-Мрт-10, 05:03
	> При чём здесь вообще проблемы win? Догадайтесь с трех раз. Наверное при том что у других систем есть средства сделать либу доступную всем и потому никто не таскает 100500 версий одной и той же либы. Почему-то в пингвинах с пакетными манагерами опач и пых юзают 1 и ту же либу, которая имеется в 1 экземпляре а майнтайнеры следят чтобы она еще и не дырявая была. В итоге - да, можно сэкономить себе дохрена времени. Если не пользоваться системами с тупыми граблями, например. > Гордись, максим, в т.ч. твоя заслуга Да просто вы тут очень кстати попались как наглядная иллюстрация.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	7. "Вышел корректирующий релиз http-сервера Apache 2.2.15"		+/–
	Сообщение от User294 (ok) on 08-Мрт-10, 04:25
	>???. Допустит. Именно как класса. Сейчас - вероятность меньше, но есть. При мало-мальски вменяемых майнтайнерах такого не бывает, извините. >У wind'ы проблема просто другого уровня. Да, конечно. Там тупо нет разделения на модули, разбиения на пакеты и в итоге наблюдается просто большая помойка где все свалено в кучу а "shared" либы - нифига не shared потому что все проги их таскают сами, только для себя и никак иначе (стандартных методов попросить у системы вон ту либу или сделать вон ту либу доступной всем - по сути нет). Апдейтить либы будет тоже, разумеется, Пушкин (все-равно уследить за 100500 копий той или иной либы нереально, особенно если ее статически влинковали). Поэтому до сих пор можно найти виндузятников у которых дырявая версия zlib, openssl, libpng и чего там еще в какой-то необновленной программке. А потом виндузятники искренне удивляются - "ой, откуда же в моей системе столько малвари?!". Ну вот оттуда, блин. То что есть в виндозе - не соответствует современным реалиям. Делалось в девяностые, когда интернетов и хаксоров в них - не было. >Но в linux на данный момент пока не все чики-чики. "Доктор Ватсон не заметил явных проблем". Если юзать в режиме "юзверга" - проблем нет как класса. Если в режиме "разработчика", "экспериментатора" и прочая - ну вы знали на что шли и там все претензии к себе и своим рукам сугубо. >PS. Особенно, касается linux-ов уровня ubuntu. Что-то не заметил в убунтах никаких проблем с версиями библиотек. Если ставится опач то уж наверное у пыха и опача юзается одинаковый openssl, блин. А не таскается 100500 разных. >нужно применять глобальный подход. Репозитории называются. Есть одна версия SSLной либы. И все юзают ее, фигле. Вполне себе решение. >А RH-подобных систем - чуть получше. Чем? Там принципиально иная логика управления пакетами? >не вырабатуют Чего-чего? Не надо нам багов, пожалуйста :)
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	5. "Вышел корректирующий релиз http-сервера Apache 2.2.15"		+/–
	Сообщение от konst (??) on 07-Мрт-10, 22:42
	в догонку: суть: linux'овые манагеры (e.g. yum) тоже просто обломаются при попытке установить несовместимое... Спустя пару днев - починят....
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема