The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Релиз http-сервера lighttpd 1.4.35 с устранением уязвимостей

14.03.2014 10:42

Увидел свет релиз легковесного http-сервера lighttpd 1.4.35. Выпуск носит корректирующий характер и содержит около двадцати изменений. Отдельно отмечается устранение уязвимости, которая проявляется при использовании модуля mod_mysql_vhost и может привести к подстановке SQL-кода через передачу специально оформленного содержимого HTTP-заголовка "Host:" (например, "Host: [::1]' UNION SELECT '/") из-за некорректной проверки IPv6 адресов.

Уязвимость также присутствует в модулях mod_evhost и mod_simple_vhost и позволяет выйти за пределы текущей директории при указании ".." в пути, но проявляется только при наличии директорий с символами "[]", что делает уязвимость неприменимой на практике (например при наличии маски evhost.path-pattern = "/var/www/%0/" указание в поле "Host:" имени "[]/../../../" может привести к выходу за пределы /var/www/ при наличии директории /var/www/[]/).

Кроме уязвимостей в новом выпуске устранена порция выявленных в процесcе тестирования в scan.coverity.com проблем, связанных с некорректной работой с буферами, утечками памяти и обращением к уже освобождённым областям памяти.

  1. Главная ссылка к новости (http://www.lighttpd.net/2014/3...)
  2. OpenNews: Релиз http-сервера lighttpd 1.4.34
  3. OpenNews: Релиз http-сервера lighttpd 1.4.33
  4. OpenNews: Выявлена атака по внедрению бэкдора на web-серверы с lighttpd и nginx
  5. OpenNews: Релиз http-сервера lighttpd 1.4.32 с устранением уязвимости
  6. OpenNews: Релиз http-сервера lighttpd 1.4.31
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/39310-lighttpd
Ключевые слова: lighttpd
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (21) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 12:50, 14/03/2014 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +2 +/
    Стоит использовать вместо апача?
     
     
  • 2.5, RedRat (ok), 13:24, 14/03/2014 [^] [^^] [^^^] [ответить]  
    		• –3 +/
    Только если используются CGI-скрипты. Во всех остальных случаях - nginx.
     
     
  • 3.15, www2 (??), 18:21, 14/03/2014 [^] [^^] [^^^] [ответить]  
    		• +/
    А чотак? nginx не умеет CGI? Или Lighttpd не умеет чего-то, что умеет nginx?
     
  • 3.16, RedRat (ok), 18:29, 14/03/2014 [^] [^^] [^^^] [ответить]  
    		• +/
    > А чотак? nginx не умеет CGI? Или Lighttpd не умеет чего-то, что умеет nginx?

    Да, nginx не умеет CGI. Впрочем, CGI сейчас мало где используется. Во всём остальном nginx не уступает или превосходит Lighttpd.

     
     
  • 4.22, BratSinot (ok), 21:45, 14/03/2014 [^] [^^] [^^^] [ответить]  
    		• +/
    Дык тот-же PHP у них PHP-FPM, который чрез FastCGI.
     
     
  • 5.23, Аноним (-), 20:21, 15/03/2014 [^] [^^] [^^^] [ответить]  
    		• +/
    FastCGI != CGI
     
  • 2.12, Аноним (-), 16:27, 14/03/2014 [^] [^^] [^^^] [ответить]  
    		• +/
    > Стоит использовать вместо апача?

    Нет. Используйте Apache.

     
     
  • 3.20, Аноним (-), 18:35, 14/03/2014 [^] [^^] [^^^] [ответить]  
    		• +/
    > Нет. Используйте Apache.

    ...если денег на крЮтые серваки не жалко, особенно для сервировки статики.

     

  • 1.2, Аноним (-), 13:06, 14/03/2014 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Вместо апача у многих уже nginx.
     
     
  • 2.6, UNIm95 (ok), 13:32, 14/03/2014 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    nginx используют как балансирующий прокси для фермы апачей.
     
     
  • 3.9, anonymous (??), 15:54, 14/03/2014 [^] [^^] [^^^] [ответить]  
    		• +/
    Если мод-перл, да. Все остальное проще с точки зрения конфигурирования и экономнее по потреблению памяти запускать через fastcgi/scgi/wsgi.

    В последний раз живой апач видел в 2008-м году, щас уже и не вспомню, как его настраивать.

     
     
  • 4.11, Аноним (-), 16:27, 14/03/2014 [^] [^^] [^^^] [ответить]  
    		• +/
    > не вспомню, как его настраивать

    Может, твоя проблема была в этом?

     
     
  • 5.18, Аноним (-), 18:33, 14/03/2014 [^] [^^] [^^^] [ответить]  
    		• –2 +/
    > Может, твоя проблема была в этом?

    Учитывая политику апача - они могут идти на йух. Нормально сервировать статику они можно считать что не умеют, конфигурация замороченная, на динамике тоже ничего интересного не демонстрируют. Зато бзики по всякой энтерпрайзятине на яве им мозг сожрали. Ну и ориентируются на энтерпрайзы с серверами по 128 гигз памяти и 64 ядрами. Если у вас не дай боже сервак слабее, его школьник с мобилки сможет уронить.

     
     
  • 6.25, Аноним (-), 20:26, 15/03/2014 [^] [^^] [^^^] [ответить]  
    		• +/
    > Учитывая политику апача - они могут идти на йух.

    Учитывая нежелание nginx поддерживать htaccess - они могут идти туда же.

    > Если у вас не дай боже сервак слабее, его школьник с мобилки сможет уронить.

    Для этого нужен не только слабый сервак, но убунтенок-эникей вместо админа (которые вообще не знает, что такое настройка параметров и нагрузочное тестирование).

     
     
  • 7.26, arisu (ok), 20:32, 15/03/2014 [^] [^^] [^^^] [ответить]  
    		• +/
    > Учитывая нежелание nginx поддерживать htaccess

    не понимаю, какая проблема сделать себе эту чушь, если без неё никак оргазм не получается.

     
  • 5.21, anonymous (??), 18:46, 14/03/2014 [^] [^^] [^^^] [ответить]  
    		• +/
    Я немного утрировал, не понадобилось все это время ни разу, но в общих чертах помню (о, этот ад с Directory/Location, это незабываемо), хотя за это время, конечно, многое изменилось - видел издалека и офигел с числа модулей в дефолтной сборке современного апача.

    Недавно вот имел дело (о ужас!) с windows server, вполне справился, хотя в последний раз его видел в 2003-м году. Поразился, что современные виндоадмины не знают даже базовых консольных виндовых команд, типа netsh и sc.

     
     
  • 6.24, Аноним (-), 20:24, 15/03/2014 [^] [^^] [^^^] [ответить]  
    		• +/
    > (о, этот ад с Directory/Location, это незабываемо),

    Насколько я помню, в этом nginx практически не отличается от apache.

    > офигел с числа модулей в дефолтной сборке современного апача.

    Это безусловный плюс апача - не надо делать кастомные пересборки на каждый чих.

     
     
  • 7.28, arisu (ok), 20:33, 15/03/2014 [^] [^^] [^^^] [ответить]  
    		• +/
    > не надо делать кастомные пересборки на каждый чих.

    бедняга. я тебе сейчас радостную новость поведаю: сишный код давно уже не надо ручками в машинный переводить, это автоматизировали.

     

  • 1.10, anonymous (??), 15:56, 14/03/2014 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Всегда поражаюсь такому. Почему в подобных модулях (в том числе многих ftp и dns-серверах) не используют prepared statements? Это ведь намного выгоднее - один раз после соединения сделать prepare, а дальше долбить execute по уже распарсенному и спланированному запросу. Не говоря уж о безопасности.
     
     
  • 2.13, MPEG LA (ok), 17:00, 14/03/2014 [^] [^^] [^^^] [ответить]  
    		• +/
    индусы потому что
     
  • 2.14, arisu (ok), 17:14, 14/03/2014 [^] [^^] [^^^] [ответить]  
    		• +/
    в принципе, потому, что «мускульвхост» нафиг никому особо не упёрся. написали как получилось и забыли.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру