The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Вышел релиз http-сервера lighttpd 1.4.20

30.09.2008 09:42

Спустя 6 месяцев после выхода версии 1.4.19, анонсирован новый релиз - lighttpd 1.4.20. В новом релизе устранено около 60 ошибок, в том числе исправлено 4 уязвимости. Отдельно можно отметить обновление кода spawn-fcgi и изменение метода использования экранированных в URL символов в правилах модулей mod_rewrite и mod_redirect (отныне перед проверкой данные декодируются).

Исправленные уязвимости:

  • Из-за утечки памяти в функции "http_request_parse()", злоумышленник может, наводнив сервер определенными запросами, исчерпать всю доступную в системе память, если объем выделяемой lighttpd памяти не лимитирован;
  • Уязвимость, позволяющая злоумышленнику удаленно оборвать активные SSL соединения;
  • Отсутствие в mod_userdir принудительного перевода символов запроса в нижний регистр, на системах не чувствительных к регистру имен файлов, может привести к утечке информации. Например, злоумышленник может вместо выполнения скрипта test.php, открыть файл test.PHP как текстовый документ;
  • Возможность обхода правил редиректа в mod_rewrite и mod_redirect, через экранирование параметров запроса (url-encoded);


  1. Главная ссылка к новости (http://www.opennet.me/opennews...)
  2. secunia.com: lighttpd Duplicate Request Headers Memory Leak Vulnerabilit
  3. secunia.com: lighttpd OpenSSL Error Queue Denial of Service Vulnerability
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/18163-lighttpd
Ключевые слова: lighttpd, http
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (8) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, V (??), 10:38, 30/09/2008 [ответить]  
  • +/
    finally \o/
     
  • 1.2, User294 (ok), 15:46, 30/09/2008 [ответить]  
  • +/
    О, наконец то!

    P.S. что-то дыры не особо страшные какие-то.

     
  • 1.3, Аноним (3), 19:13, 30/09/2008 [ответить]  
  • +/
    А ты рад или опечален? Не понятно :)

    Хорошо что пофиксили. Я много где юзаю как фронт для всяких индейцев, джанг и пр. тяжести.

    ... хм - прикинул что уже чаще юзаю нжЫнкса :)
    Но всё равно - лайти - хороший сервак!

     
     
  • 2.4, User294 (??), 19:48, 30/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >А ты рад или опечален? Не понятно :)

    Лично я - рад, хорошо когда хорошие проекты развиваются.

    >Хорошо что пофиксили. Я много где юзаю как фронт для всяких индейцев,
    >джанг и пр. тяжести.

    У меня в некоторых местах лайт без всяких индейцев через fastcgi или scgi работает (некритичные к нагрузке штуки могут и через CGI, но CGI - старый, тормозной и дурацкий на фоне fastcgi, строго говоря).Вроде нормально вполне.Ресурсов дофига не жрет, etc.

    >... хм - прикинул что уже чаще юзаю нжЫнкса :)

    Формат конфига у него зубодробильный малость, но в целом - тоже неплохой сервак с кучей интересных фич.Из минусов по сравнению с лайти я пока углядел менее богатый набор понимаемых CGI-протоколов, сразу видно заточеность на несамостоятельное существование (хотя fastcgi оно умеет, но лайти то умеет больше :P).

    >Но всё равно - лайти - хороший сервак!

    +1.Особенно весело читать на сайте апача гайд по оптимизации производительности.Мля, так и хочется добавить к этому гайду: "а если юзать лайт или нжинкс то греть мозг этим вопросом равно как и потреблением ресурсов просто не придется" ;)

     
     
  • 3.5, open (?), 22:11, 30/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    вчера только читал письмо от рук. отдела нагр тестирования,
    что apache2+mod_php показал производительностьб для одного сервиса
    на 25% большую чем nginx+spawn_fast-cgi

    так что красноглазая песня про nginx это спорно...

    >хочется добавить к этому гайду: "а если юзать лайт или нжинкс
    >то греть мозг этим вопросом равно как и потреблением ресурсов просто
    >не придется" ;)

     
     
  • 4.7, GliNT (??), 03:03, 01/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    "Вы просто не умеете их готовить.."
     
  • 4.8, User294 (ok), 17:46, 20/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    А случаи бывают разные с анекдот Вы тут ни звука не издали про то что тестиров... большой текст свёрнут, показать
     

  • 1.6, Alexander Yakimenko (?), 22:58, 30/09/2008 [ответить]  
  • +/
    apache2 по своему подобию не сможет отработать более nginx. Так что расскажите об этом Сысоеву и Ко.
     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру