The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Представлен релиз HTTP-сервера Apache 2.2.10

15.10.2008 18:32

Анонсирован выход релиза Apache 2.2.10. В новой версии устранена неопасная XSS (межсайтовый скриптинг) уязвимость в модуле mod_proxy_ftp, внесено 18 изменений, затрагивающих такие модули как mod_proxy_http, mod_ssl, mod_authn_alias, mod_charset_lite, mod_dav_fs, mod_cgid, mod_headers, mod_rewrite.

Отдельно стоит отметить, появление поддержки chroot для Unix-совместимых ОС, при старте apache будет выполнен переход в изолированное окружение, корневая директория которого задана через директиву ChrootDir. Новшество совместимо с MPM модулями prefork и worker.

В mod_proxy_balancer добавлен метод балансировки 'bybusyness', учитывающий загруженность бэкенда. В mod_rewrite появились 2 новые опции, управляющие отправкой Cookie: secure (cookie отправляется только по https) и HttpOnly (для активации возможности некоторых браузеров по блокированию передачи cookie в JavaScript код).

  1. Главная ссылка к новости (http://www.apache.org/dist/htt...)
  2. Changelog 2.2.10
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/18426-apache
Ключевые слова: apache, http
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (28) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 19:22, 15/10/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >Отдельно стоит отметить, появление поддержки chroot для Unix-совместимых ОС,
    >при старте apache будет выполнен переход в изолированное окружение, корневая
    >директория которого задана через директиву ChrootDir. Новшество совместимо с
    >MPM модулями prefork и worker.

    хм .. и чем это отличаетца от chroot /bla/bla bla

     
     
  • 2.2, darkk (?), 19:35, 15/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >хм .. и чем это отличаетца от chroot /bla/bla bla

    Тем, что демон чрутится после старта и, соответственно, не надо копировать нужные библиотеки и проч в /bla/bla

     
  • 2.3, User294 (??), 20:11, 15/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >хм .. и чем это отличаетца от chroot /bla/bla bla

    Количеством файлов которое надо закопировать в чрутовый каталог.Если чрут сделает сама программа - в каталог не надо будет копировать ворох потребных программе для старта библиотек...

     
  • 2.13, Аноним (-), 00:04, 16/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >>Отдельно стоит отметить, появление поддержки chroot для Unix-совместимых ОС,
    >>при старте apache будет выполнен переход в изолированное окружение, корневая
    >>директория которого задана через директиву ChrootDir. Новшество совместимо с
    >>MPM модулями prefork и worker.
    >
    >хм .. и чем это отличаетца от chroot /bla/bla bla

    У меня другой вопрос: чем это отличается от mod_chroot ?
    Ведь сто лет как существует и используется mod_chroot.

     
     
  • 3.18, PereresusNeVlezaetBuggy (ok), 03:55, 16/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >>>Отдельно стоит отметить, появление поддержки chroot для Unix-совместимых ОС,
    >>>при старте apache будет выполнен переход в изолированное окружение, корневая
    >>>директория которого задана через директиву ChrootDir. Новшество совместимо с
    >>>MPM модулями prefork и worker.
    >>
    >>хм .. и чем это отличаетца от chroot /bla/bla bla
    >
    >У меня другой вопрос: чем это отличается от mod_chroot ?
    >Ведь сто лет как существует и используется mod_chroot.

    Могу ошибаться, но, похоже, это и есть интеграция mod_chroot — вместе с решением проблем, связанных с оным.

     

  • 1.4, Аноним (1), 20:23, 15/10/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ждем ебилдов.

     
  • 1.5, PereresusNeVlezaetBuggy (ok), 20:33, 15/10/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >Отдельно стоит отметить, появление поддержки chroot для Unix-совместимых ОС, при старте apache будет выполнен переход в изолированное окружение, корневая директория которого задана через директиву ChrootDir. Новшество совместимо с MPM модулями prefork и worker.

    Не прошло и 10 лет…

    http://www.openbsd.org/cgi-bin/cvsweb/src/usr.sbin/httpd/src/main/http_core.c?rev=1.10;content-type=text%2Fx-cvsweb-markup

     
     
  • 2.6, openwork (?), 21:18, 15/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    да в век OpenVZ и XEN chroot очень важная фича...

    >>Отдельно стоит отметить, появление поддержки chroot для Unix-совместимых ОС, при старте apache будет выполнен переход в изолированное окружение, корневая директория которого задана через директиву ChrootDir. Новшество совместимо с MPM модулями prefork и worker.
    >
    >Не прошло и 10 лет…
    >
    >http://www.openbsd.org/cgi-bin/cvsweb/src/usr.sbin/httpd/src/main/http_core.c?rev=1.10;content-type=text%2Fx-cvsweb-markup

     
     
  • 3.10, PereresusNeVlezaetBuggy (ok), 23:56, 15/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >да в век OpenVZ и XEN chroot очень важная фича...

    Вообще chroot очень полезная фича. Например, SFTP с чрутом в хомяк пользователя - очень удобно. Опять же, так как сторонние эффекты минимальны, то бывает очень удобно использовать chroot при обновлении системы и тому подобных действиях.

    К тому же, в отличие от Xen/OpenVZ/etc, chroot прост и надёжен. Примерно как Unix shell против Konqueror. :) Одно другого не отменяет.

    ... А 6 лет назад Xen был ещё той экзотикой:).

    >>>Отдельно стоит отметить, появление поддержки chroot для Unix-совместимых ОС, при старте apache будет выполнен переход в изолированное окружение, корневая директория которого задана через директиву ChrootDir. Новшество совместимо с MPM модулями prefork и worker.
    >>
    >>Не прошло и 10 лет…
    >>
    >>http://www.openbsd.org/cgi-bin/cvsweb/src/usr.sbin/httpd/src/main/http_core.c?rev=1.10;content-type=text%2Fx-cvsweb-markup

     
  • 3.27, User294 (??), 17:34, 17/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >да в век OpenVZ и XEN chroot очень важная фича...

    Апач в век OpenVZ и XEN - выглядит слегка overbloated зачастую =).Например на VDS юзать оный достаточно дорого (RAM дофига надо).

     

  • 1.7, Guest (??), 21:33, 15/10/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Отдельно стоит отметить, появление поддержки chroot для Unix-совместимых ОС

    Апач этого до сих пор не умел?!

     
     
  • 2.8, rav123 (?), 21:45, 15/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Ему это не нужно. Это нужно параноидальным сисадминам.
     
     
  • 3.9, PereresusNeVlezaetBuggy (ok), 23:42, 15/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Ему это не нужно. Это нужно параноидальным сисадминам.

    Простите, когда ваш апач последний раз ломали (через mod_php, например)?

     
     
  • 4.11, Аноним (-), 23:57, 15/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    никогда, тра-ла-ла :)
     
     
  • 5.12, PereresusNeVlezaetBuggy (ok), 00:01, 16/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >никогда, тра-ла-ла :)

    Вот кого не ломали, те и не парятся. Ну а кто раз наступил на грабли, второй раз уже обычно не хочет. :) ИМХО, это уже не паранойя.

     
     
  • 6.14, Dvorkin (??), 01:19, 16/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    chroot - это настолько маленькое и кривенькое спасение, что им можно пренебречь. значительно важнее поставить _правильные_ права на процессы апач, а не www или apache или nobody как у большинства
     
     
  • 7.16, PereresusNeVlezaetBuggy (ok), 03:52, 16/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >chroot - это настолько маленькое и кривенькое спасение, что им можно пренебречь.
    >значительно важнее поставить _правильные_ права на процессы апач, а не www
    >или apache или nobody как у большинства

    1. chroot как средство обеспечения безопасности — это не спасение, а лишь средство уменьшения последствий успешной атаки.

    2. Права на процессы не ставят. Их ставят на исполняемые файлы.

    3. www/apache/nobody — это не права.

    4. www/apache/nobody — это прогресс по сравнению с root.

    5. И что же вы называете «правильными правами»?

     
     
  • 8.21, Dvorkin (??), 12:16, 17/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    да и в то же время обрезание всяких приятных возможностей типа вызова программ ... текст свёрнут, показать
     
     
  • 9.29, PereresusNeVlezaetBuggy (ok), 20:06, 20/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Вполне вас понимаю, кое-где мне тоже приходится его отключать Просто возможност... текст свёрнут, показать
     
     
  • 10.30, Dvorkin (??), 23:20, 20/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    очевидно да боже упаси от SELinux mod_ruid потому что если в www-директории пол... текст свёрнут, показать
     
     
  • 11.31, PereresusNeVlezaetBuggy (ok), 01:53, 21/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Угу, Костыль v2 0 При MaxRequestsPerChild равном единице проще сразу пользова... текст свёрнут, показать
     
     
  • 12.32, Dvorkin (??), 10:23, 21/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    это замечательный костыль вы, видимо, не пробовали ... текст свёрнут, показать
     
     
  • 13.33, PereresusNeVlezaetBuggy (ok), 11:13, 21/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Охотно верю Пока что нет 8212 пока что все сервера, где ставил Apache 2, был... текст свёрнут, показать
     
     
  • 14.34, Dvorkin (??), 12:12, 21/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    по моему скромному ИМХО эта вещь заслуживает быть награждена как лучший модуль д... текст свёрнут, показать
     
  • 4.15, Andrey (??), 03:48, 16/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >>Ему это не нужно. Это нужно параноидальным сисадминам.
    >
    >Простите, когда ваш апач последний раз ломали (через mod_php, например)?

    Полный бред, а чем chroot спасет вас от взлома mod_php?

     
     
  • 5.17, PereresusNeVlezaetBuggy (ok), 03:54, 16/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >>>Ему это не нужно. Это нужно параноидальным сисадминам.
    >>
    >>Простите, когда ваш апач последний раз ломали (через mod_php, например)?
    >
    >Полный бред, а чем chroot спасет вас от взлома mod_php?

    А он и не должен спасать. Равно как и виртуализация. Он нужен чтобы минимизировать ущерб _после_ успешно проведённой атаки на сервер. Секурности собственно программе он не добавляет ни на грамм.

     
  • 4.20, rav123 (?), 08:58, 17/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >>Ему это не нужно. Это нужно параноидальным сисадминам.
    >
    >Простите, когда ваш апач последний раз ломали (через mod_php, например)?

    Никогда.
    При грамотной настройке, отключении всего ненужного и постоянного отслеживания уязвимостей и обновлении вероятность сломать апач по причине ошибки в самом апаче очень мала. Ломают чаще всего через дурно написанные скрипты.

     
     
  • 5.28, PereresusNeVlezaetBuggy (ok), 19:02, 20/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >>>Ему это не нужно. Это нужно параноидальным сисадминам.
    >>
    >>Простите, когда ваш апач последний раз ломали (через mod_php, например)?
    >
    >Никогда.
    >При грамотной настройке, отключении всего ненужного и постоянного отслеживания уязвимостей и обновлении
    >вероятность сломать апач по причине ошибки в самом апаче очень мала.
    >Ломают чаще всего через дурно написанные скрипты.

    Видите ли, то, что не нужно вам, вполне может быть нужно разработчикам, или ещё кому-то. Так что приходится балансировать. Ну а мудрость «знать где упасть — можно и соломку подстелить» ещё никто не отменял. :)

    К слову, меня тоже пока что не ломали через Апач. Но это не значит, что не стоит пренебрегать дополнительными мерами защиты.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру