The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Релиз http-серверов Lighttpd 1.4.76 и Apache httpd 2.4.59

14.04.2024 12:01

Опубликован релиз легковесного http-сервера lighttpd 1.4.76, ориентированного на сочетание высокой производительности, безопасности, соответствия стандартам и гибкости настройки. Lighttpd пригоден для применения на высоконагруженных системах и нацелен на низкое потребление памяти и ресурсов CPU. Код проекта написан на языке Си и распространяется под лицензией BSD.

В новой версии:

  • Обеспечено выявление совершения атаки "Continuation flood", осуществляемой через отправку на сервер HTTP/2 непрекращающегося потока кадров CONTINUATION без выставления флага END_HEADERS. Утверждается, что данная атака не приводит к отказу в обслуживании lighttpd, но в качестве дополнительной меры добавлено её выявление и отправка ответа GO_AWAY.
  • Учтён инцидент с внедрением бэкдора в пакет xz. При создании релизов для сборки зависимостей теперь используется получение кода из Git командой "git archive" с верификацией по тегам релиза и без загрузки готовых архивов с кодом.
  • По умолчанию предоставлен встроенный файл mimetype.assign.
  • Добавлена поддержка расширения MPTCP (MultiPath TCP), которая не активирована по умолчанию.
  • Улучшена поддержка платформ GNU/Hurd и NetBSD 10.
  • Сокращено число системных вызовов, совершаемых при подключениях к бэкенду.
  • В следующих выпусках планируется выставить TLSv1.3 в качестве минимально поддерживаемой по умолчанию версии протокола TLS (сейчас параметр MinProtocol выставлен в значение TLSv1.2). В будущем обработчик server.error-handler-404 будет ограничен только обработкой ошибок 404 (сейчас обрабатывается как 404, так и 403).

Также можно отметить релиз HTTP-сервера Apache 2.4.59, в котором представлено 21 изменение и устранены три уязвимости:

  • CVE-2024-27316 - уязвимость, приводящая к исчерпанию свободной памяти при совершении атаки "Continuation flood".
  • CVE-2024-24795, CVE-2023-38709 - возможность совершения атаки по разделению ответов HTTP на системах фронтэнд-бэкенд, позволяющей добиться подстановки дополнительных заголовков ответа или расщеплению ответов для того, чтобы вклиниться в содержимое ответов другим пользователям, обрабатываемых в том же потоке между фронтэндом и бэкендом.
  • В модуль mod_cgi добавлен параметр CGIScriptTimeout для выставления таймаута выполнения скрипта.
  • В mod_xml2enc обеспечена совместимость с libxml2 2.12.0 и более новыми выпусками.
  • В mod_ssl для компоновки списков имён удостоверяющих центров при обработке директив SSLCACertificatePath и SSLCADNRequestPath адействованы штатные функции OpenSSL.
  • В mod_xml2enc обеспечена обработка XML для любых MIME-типов text/* и XML для исключения повреждения данных в форматах Microsoft OOXML.
  • В утилите htcacheclean при указании опций -a/-A реализован перебор всех файлов для каждого подкаталога.
  • В mod_ssl в директивах SSLProxyMachineCertificateFile/Path разрешено ссылаться на файлы, содержащий сертификаты удостоверяющих центров.
  • В документации к утилитам htpasswd, htdbm и dbmmanage уточнено, что в них используется хэширование, а не шифрование паролей.
  • В htpasswd добавлена поддержка обработки хэшей паролей, используя алгоритм SHA-2.
  • В mod_env разрешено переопределение системных переменных окружения.
  • В mod_ldap реализовано экранирование HTML-данных в заголовке ldap-status.
  • В mod_ssl улучшена совместимость с OpenSSL 3 и обеспечено возвращение системе освобождённой памяти.
  • В mod_proxy разрешено выставление TTL для настройки времени жизни записи в кэше DNS-ответов.
  • В mod_proxy в параметр ProxyRemote добавлена поддержка третьего аргумента, через который можно настроить передаваемые на внешний прокси учётные данные для Basic-аутентификации.


  1. Главная ссылка к новости (https://blog.lighttpd.net/arti...)
  2. OpenNews: Релиз http-сервера Lighttpd 1.4.74
  3. OpenNews: Уязвимость в протоколе HTTP/2, задействованная в крупнейшей DDoS-атаке
  4. OpenNews: Атака Continuation flood, приводящая к проблемам на серверах, использующих HTTP/2.0
  5. OpenNews: Релиз http-сервера Apache 2.4.58 с устранением DoS-уязвимостей в HTTP/2
  6. OpenNews: Первый стабильный выпуск библиотеки GNU libmicrohttpd
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/60990-lighttpd
Ключевые слова: lighttpd, httpd, apache
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (71) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 13:46, 14/04/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > Улучшена поддержка платформ GNU/Hurd и NetBSD 10

    спасибо

     
  • 1.2, Карлос Сношайтилис (ok), 13:52, 14/04/2024 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • +3 +/
     
     
  • 2.3, Аноним (1), 13:56, 14/04/2024 Скрыто ботом-модератором     [к модератору]
  • +2 +/
     
  • 2.4, Аноним (4), 13:57, 14/04/2024 Скрыто ботом-модератором     [к модератору]
  • –1 +/
     
     
  • 3.5, Аноним (1), 14:07, 14/04/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 4.9, Аноним (4), 14:20, 14/04/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 5.12, Аноним (1), 14:22, 14/04/2024 Скрыто ботом-модератором     [к модератору]
  • +2 +/
     
     
  • 6.51, Аноним (4), 20:48, 14/04/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 2.6, тыквенное латте (?), 14:10, 14/04/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 3.10, Аноним (10), 14:21, 14/04/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 4.18, Аноним (18), 14:44, 14/04/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 4.46, Аноним (46), 19:43, 14/04/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 3.49, Аноним (49), 20:06, 14/04/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 4.57, Аноним (4), 20:58, 14/04/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 2.7, Аноним (-), 14:12, 14/04/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 2.8, Аноним (1), 14:19, 14/04/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 3.11, Аноним (4), 14:21, 14/04/2024 Скрыто ботом-модератором     [к модератору]
  • +1 +/
     
  • 3.13, Аноним (10), 14:24, 14/04/2024 Скрыто ботом-модератором     [к модератору]
  • –3 +/
     
     
  • 4.14, Аноним (1), 14:26, 14/04/2024 Скрыто ботом-модератором     [к модератору]
  • +2 +/
     
     
  • 5.16, Аноним (10), 14:39, 14/04/2024 Скрыто ботом-модератором     [к модератору]
  • –1 +/
     
     
  • 6.20, тыквенное латте (?), 14:48, 14/04/2024 Скрыто ботом-модератором     [к модератору]
  • +1 +/
     
     
  • 7.55, Аноним (4), 20:53, 14/04/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 8.62, тыквенное латте (?), 22:08, 14/04/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 6.21, Аноним (1), 15:00, 14/04/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 7.24, тыквенное латте (?), 15:07, 14/04/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 8.30, Аноним (49), 16:04, 14/04/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 9.32, Аноним (1), 16:33, 14/04/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 10.33, тыквенное латте (?), 16:59, 14/04/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 10.34, Аноним (49), 17:11, 14/04/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 11.36, Аноним (36), 17:47, 14/04/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 12.38, Аноним (10), 18:07, 14/04/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 12.43, Аноним (49), 18:45, 14/04/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 13.45, тыквенное латте (?), 19:22, 14/04/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 7.40, Аноним (40), 18:20, 14/04/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 7.53, Аноним (4), 20:50, 14/04/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 8.61, Аноним (1), 21:41, 14/04/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 3.15, iPony129412 (?), 14:27, 14/04/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 4.19, Аноним (10), 14:44, 14/04/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 2.22, Аноним (22), 15:00, 14/04/2024 Скрыто ботом-модератором     [к модератору]
  • +3 +/
     
     
  • 3.35, Аноним (49), 17:18, 14/04/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 4.52, Аноним (4), 20:49, 14/04/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 2.23, OpenEcho (?), 15:05, 14/04/2024 Скрыто ботом-модератором     [к модератору]
  • +2 +/
     
  • 2.25, Аноним (1), 15:27, 14/04/2024 Скрыто ботом-модератором     [к модератору]
  • +4 +/
     
     
  • 3.29, Аноним (29), 15:40, 14/04/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 3.48, Аноним (49), 20:03, 14/04/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 4.54, Аноним (1), 20:52, 14/04/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 5.56, Аноним (4), 20:55, 14/04/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 6.59, Аноним (1), 21:00, 14/04/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 2.63, Аноним (63), 22:20, 14/04/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     

     ....ответы скрыты (47)

  • 1.31, Аноним (49), 16:08, 14/04/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Паллиативные релизы для поддержки легаси-кода. Как же я всё-таки не скучаю по тем временам, когда навык настройки Апача был причиной для найма.
     
     
  • 2.41, Аноним (40), 18:21, 14/04/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    После релиза любой код становится легаси.
     
  • 2.58, Аноним (4), 21:00, 14/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Как же я всё-таки не скучаю по тем временам, когда навык настройки Апача был причиной для найма.

    Ничего, сейчас всё еще bind жив, а он покошмарнее будет.

     
     
  • 3.86, Аноним (-), 17:26, 17/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >> Как же я всё-таки не скучаю по тем временам, когда навык настройки Апача был причиной для найма.
    > Ничего, сейчас всё еще bind жив, а он покошмарнее будет.

    Они попробовали выкатить новую версию. Получился энтерпрайз-апокалипсис на питоне-электроне, с кучей процессов, жором ресурсов "докупите серверов!", конфигурацией "наймите пару энтерпрайзадминов" и прочими прелестями.

    Народ охренел с таких улучшений - и не стал это юзать! Получился такой себе релиз-суслик. Вы его не видите, но он где-то есть...

     
  • 2.70, Бывалый Смузихлёб (ok), 11:42, 15/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    навык настройки того что надо настраивать в рамках рабочих обязанностей обычно и является очевидной причиной для найма
     
     
  • 3.77, Аноним (49), 19:22, 15/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Если ты на айти-челядь собеседуешься, то наверное это действительно причина. Действительно, зачем нужен эникей, который ни Апач настроить не может, ни картридж потрясти? Неясно только зачем этим заниматься, если ты не студент в поисках подработки. Взрослому человеку такой ерундой заниматься просто стыдно.
     
     
  • 4.80, Аноним (80), 01:23, 16/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    ну вот Игорь Сысоев в рамках должностных обязанностей Апач настраивал. Картриджи вряд ли тряс, иначе бы nginx некогда было писать :]
     
     
  • 5.83, Аноним (49), 18:53, 16/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ну и написал в итоге более быстрый Апач. Лучше бы картриджи тряс.
     
  • 4.81, Бывалый Смузихлёб (ok), 11:18, 16/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    действительно, зачем нужен какой-нибудь девопсер, способный разворачивать и настраивать то что используется в конторе
    Да ерунда же - давайте лучше знание раста проверим и про пузырьковую сортировку спросим. Ну и о знании МС повер-поинт, разумеется, тоже поинтересуемся )
     
     
  • 5.82, Аноним (49), 18:52, 16/04/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Девопс ценен не тем, что умеет настраивать Апач (это никогда проблемой не было), а тем, что понимает как сделать так, чтобы Апач не надо было настраивать вручную каждый раз, когда там надо что-то поменять. И это совсем другой набор скиллов. Если вас на собесе спрашивают про языки, пузырьки и поверпоинт, вас нанимают эникеем, бегите оттуда. Реальных профи на собесах спрашивают о софт-скиллах и том, как они в цифрах улучшили бизнес, в котором работали до этого.
     
     
  • 6.87, Аноним (-), 17:35, 17/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Девопс ценен не тем, что умеет настраивать Апач (это никогда проблемой не
    > было), а тем, что понимает как сделать так, чтобы Апач не
    > надо было настраивать вручную каждый раз, когда там надо что-то поменять.

    Нормальный девопс - ценен тем что для начала обеспечивает рабочий процесс, являясь его частью, интегрируясь с процессом разработки и поддерживая это дело. А не как обычный админ - мол, вот вам апач, а дальше сами, я вообще не програмер, продукт не знаю и понятия не имею как вам надо.

    ...так что потом дев пыхтит с настройками и патчингом под особенности вот именно этой конфиги, тогда как у нормальных людей все это делают специально обученные девопсы. Понимающие свой продукт и нацеленные на его разработку и эксплуатацию. Потом и Dev Ops собственно.

     

  • 1.66, Аноним (66), 00:51, 15/04/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    >В следующих выпусках планируется выставить TLSv1.3 в качестве минимально поддерживаемой по умолчанию версии протокола TLS

    Вот уроды, у меня на телефоне Firefox максимум 1.2 поддерживает. А не будут брать новые телефоны — отключим интернет!

     
     
  • 2.68, нах. (?), 08:50, 15/04/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    это лайти - они к интернет последние лет пятнадцать - очень слабо (и те кто ими пользуется - скорее всего сообразят поменять дурацкий дефолт). Вот к биосам делловских матерей с дыркой в безопастносте - очень даже.

    Так что береги свой телефон - скоро чтоб настроить сервер, выпущенный пять лет назад, понадобится именно он, потому что все модные-современные десктопные браузеры кроме надписей "небезопастно!" только пустую белую страницу без кнопки продолжить покажут.

     
     
  • 3.71, Бывалый Смузихлёб (ok), 11:45, 15/04/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну всякие юсб-модемы и прочее подобное тоже нередко им комплектовали для веб-страницы с настройками устройства. И никакой потребности в установке какой-то управляющей программы с дровами - тупо браузер, способный открывать веб-страницы
    Вообще-то, удобная штука, но для чего-то не сильно ответственного и безопасного. Ширпотребно-бытового
     
     
  • 4.73, нах. (?), 15:12, 15/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ну примерно представляя КУДА оно втыкается - те ребята проблем от tls 1.3 only наверное и не получат.

    > Вообще-то, удобная штука, но для чего-то не сильно ответственного и безопасного. Ширпотребно-
    > бытового

    для ширпотребно-бытового я бы не парился, и, если бы не стояла задача сделать нормально, а не как обычно  - просто высунул бы напрямую нудежеес или на чем там эти фулшмяки умеют.

    Это ж не вебсайт, зачем ему отдельный сервер с суперэффективной обработкой миллионов rps.

     
     
  • 5.74, Аноним (63), 18:25, 15/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >tls 1.3 only

    Сказано ведь на родном айтишном:
    defaults will change to MinProtocol TLSv1.3 Other configurations will still be supported
    Это так сложно явно прописать в конфиге MinProtocol TLSv1.2?

     
     
  • 6.75, нах. (?), 18:30, 15/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    кто тебя пустит что-то прописывать в конфиги эмбеднутого в сервер dell сервера?

    (или абстрактного сервера в этих ваших интернетах, если найдется еще такой дол6..е6)

     
     
  • 7.76, Аноним (63), 19:02, 15/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >эмбеднутого в сервер dell сервера

    Ты серьезно думаешь, что Dell (или кто там еще) для встраивания будет использовать последнюю версию Lighttpd? Ну, ну...

     
     
  • 8.78, нах. (?), 19:27, 15/04/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Предпоследнюю они уже попробовали Как-то так себе получилось ... текст свёрнут, показать
     
  • 4.79, Аноним (63), 19:33, 15/04/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >но для чего-то не сильно ответственного и безопасного

    "Рассуждай токмо о том, о чем понятия твои тебе сие дозволяют. Так: не зная законов языка ирокезского, можешь ли ты делать такое суждение по сему предмету, которое не было бы неосновательно и глупо?" (К. Прутков)

     

  • 1.69, йцукенфывап (?), 10:32, 15/04/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    "Учтён инцидент с внедрением бэкдора в пакет xz. При создании релизов для сборки зависимостей теперь используется получение кода из Git командой "git archive" с верификацией по тегам релиза и без загрузки готовых архивов с кодом."

    Добрый день. А можно по русский что конкретно они делают.
    Просто выгружают код через git archive? А раньше брали готовый zip. Все, типа защитились?

     
  • 1.85, Аноним (-), 17:10, 17/04/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > CVE-2024-24795, CVE-2023-38709 - возможность совершения атаки по разделению ответов HTTP
    > на системах фронтэнд-бэкенд, позволяющей добиться подстановки дополнительных заголовков ответа или расщеплению ответов
    > для того, чтобы вклиниться в содержимое ответов другим пользователям

    Ну и кто тут говорил что HTTP 1.x дескать, безопасный, и все такое? А тут на тебе - новая порция старых граблей.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру