The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Обновление nginx 1.4.7 и 1.5.12 с устранением опасной уязвимости в реализации SPDY

18.03.2014 21:46

Доступны обновления стабильной (1.4.7) и находящейся в разработке (1.5.12) веток http-сервера nginx с устранением уязвимости (CVE-2014-0133) в модуле ngx_http_spdy_module. Проблема проявляется в переполнении буфера при выполнении специально сформированных запросов по протоколу SPDY и может потенциально привести в выполнению кода атакующего с правами рабочего процесса nginx.

Следует отметить, что реализация протокола SPDY носит экспериментальный характер и не включена по умолчанию. Проблема затрагивает все версии nginx, начиная с 1.3.15, собранные с поддержкой модуля ngx_http_spdy_module без использования отладочного режима ("--with-debug"), в которых в файле конфигурации активирована опция "spdy" в директиве "listen".

  1. Главная ссылка к новости (http://mailman.nginx.org/piper...)
  2. OpenNews: Обновление nginx 1.4.4 с устранением уязвимости
  3. OpenNews: Nginx выпускает коммерческую версию - Nginx Plus
  4. OpenNews: Релиз http-сервера nginx 1.4.0
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/39344-nginx
Ключевые слова: nginx
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (17) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 23:12, 18/03/2014 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    > экспериментальной (1.5.12) ветки

    В каком месте она экспериментальная?  На сайте написано - "основная".

     
     
  • 2.5, Аноним (-), 00:17, 19/03/2014 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    > В каком месте она экспериментальная?  На сайте написано - "основная".

    На сайте nginx.org написано "mainline", что означает "находящаяся в разработке",  стабильная ветка 1.4, а 1.5 для экспериментов на свой страх и риск. После стабилизации на основе 1.5 будет выпущена стабильная ветка 1.6.

     
     
  • 3.6, Аноним (-), 00:42, 19/03/2014 [^] [^^] [^^^] [ответить]  
    		• –2 +/
    >> В каком месте она экспериментальная?  На сайте написано - "основная".
    > На сайте nginx.org написано "mainline", что означает "находящаяся в разработке",  стабильная
    > ветка 1.4, а 1.5 для экспериментов на свой страх и риск.
    > После стабилизации на основе 1.5 будет выпущена стабильная ветка 1.6.

    С чего вы взяли? Где это написано? На сайте nginx.org/ru/ написано основная версия.

     
  • 2.7, cvsup1 (?), 00:48, 19/03/2014 [^] [^^] [^^^] [ответить]  
    		• +/
    http://nginx.org/ru/docs/http/ngx_http_spdy_module.html
     
     
  • 3.8, cvsup1 (?), 00:51, 19/03/2014 [^] [^^] [^^^] [ответить]  
    		• +/
    P.S.
    касаемо "экспериментальной ветки" - согласен, я не нашел слова "experimental" в слове "mainline"
     
     
  • 4.9, Аноним (-), 08:39, 19/03/2014 [^] [^^] [^^^] [ответить]  
    		• +/
    Всегда в nginx стабильными были только ветки со вторым чётным номером,  с нечётным - нестабильные.
     
     
  • 5.12, Аноним (-), 12:01, 19/03/2014 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    Один из разработчиков, выступавший на хайлоаде, говорил, что обе ветки стабильные и рекомендовал 1.5 для продакшена.
     
  • 2.14, Аноним (-), 12:50, 20/03/2014 [^] [^^] [^^^] [ответить]  
    		• +/
    модуль spdy - экспериментальный, в дефолтных пакетах его нет.

    честно предупреждают [1]:

    > Известные проблемы
    >
    >Модуль экспериментальный, поэтому возможно всё.

    [1] http://nginx.org/ru/docs/http/ngx_http_spdy_module.html

     
     
  • 3.17, Аноним (-), 18:50, 20/03/2014 [^] [^^] [^^^] [ответить]  
    		• +/
    Модуль же, но не ветка (как было написано в первоначальной версии новости).
     

  • 1.2, Аноним (-), 23:31, 18/03/2014 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –4 +/
    http://www.securityfocus.com/bid/59496
    http://www.securityfocus.com/bid/59323
    http://www.securityfocus.com/bid/52999
    http://www.securityfocus.com/bid/50710
    http://www.securityfocus.com/bid/36839
    http://www.securityfocus.com/bid/36384

    Все-таки nginx - неплохая замена Apache, когда нужно организовать общедоступный shell-сервер. И достойный конкурент proftpd на этом поле.

     
     
  • 2.3, Аноним (-), 23:48, 18/03/2014 [^] [^^] [^^^] [ответить]  
    		• +2 +/
    А что, ssh запустить - слишком просто?
     
  • 2.4, irinat (ok), 00:05, 19/03/2014 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Nginx 0.8, nginx 1.0, debian 5. Ваши новости, кхм, немного устарели.
     
     
  • 3.10, asand3r (?), 08:55, 19/03/2014 [^] [^^] [^^^] [ответить]  
    		• –3 +/
    Ваш Debian немного устарел. ;)
     
     
  • 4.11, irinat (ok), 11:48, 19/03/2014 [^] [^^] [^^^] [ответить]  
    		• +/
    > Ваш Debian немного устарел. ;)

    Поясню. Сообщения об уязвимостях, приведенные анонимом, относятся к событиям времён Debian 5 и nginx 1.0.

     
  • 2.13, Аноним (-), 16:40, 19/03/2014 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    как замена апачу - N2O нормально.
    или Ковбой, если есть клиенты мобильные, где платформа имеет забагованную, пока, вебсокетов поддержку.
    ngnx для малвера хорошо. криминалитет, правительство, провайдеры - оченно его любят.
    как вебсервер как таковой - оно не але для XXI, хотя на фоне апача - выпукло получше.
    но стоит ли ставить слабость апача - в достоинство другому продукту ? не думаю.
     
     
  • 3.15, user455 (?), 13:39, 20/03/2014 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    а чем апач хуже нгинкса? ну только аргументированно по пунктикам.
     
  • 3.16, D (?), 14:58, 20/03/2014 [^] [^^] [^^^] [ответить]  
    		• +/
    сохацкий, залогинтесь
     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру