OpenForum RSS: Обновление nginx 1.4.7 с устранением опасной уязвимости в ре... https://www.opennet.me/openforum/vsluhforumID3/94962.html Доступны обновления стабильной (1.4.7 (http://mailman.nginx.org/pipermail/nginx-announce/2014/000134.html)) и экспериментальной (1.5.12 (http://mailman.nginx.org/pipermail/nginx-announce/2014/000133.html)) ветки http-сервера nginx (http://www.nginx.org) с устранением уязвимости (http://mailman.nginx.org/pipermail/nginx-announce/2014/000135.html) (CVE-2014-0133) в модуле ngx_http_spdy_module. Проблема проявляется в переполнении буфера при выполнении специально сформированных запросов по протоколу SPDY и может потенциально привести в выполнению кода атакующего с правами рабочего процесса nginx. <br><br><br>Следует отметить, что реализация протокола SPDY носит экспериментальный характер и не включена по умолчанию. Проблема затрагивает все версии nginx, начиная с 1.3.15, собранные с поддержкой модуля ngx_http_spdy_module без использования отладочного режима ("--with-debug"), в которых в файле конфигурации активирована опция "spdy" в директиве "listen".<br><br>URL: http://mailman.nginx.org/pipermail/nginx-announce/2014/000134 Обновление nginx 1.4.7 с устранением опасной уязвимости в ре... (Аноним) https://www.opennet.me/openforum/vsluhforumID3/94962.html#17 Thu, 20 Mar 2014 14:50:03 GMT Модуль же, но не ветка (как было написано в первоначальной версии новости).<br> Обновление nginx 1.4.7 с устранением опасной уязвимости в ре... (D) https://www.opennet.me/openforum/vsluhforumID3/94962.html#16 Thu, 20 Mar 2014 10:58:37 GMT сохацкий, залогинтесь<br> Обновление nginx 1.4.7 с устранением опасной уязвимости в ре... (user455) https://www.opennet.me/openforum/vsluhforumID3/94962.html#15 Thu, 20 Mar 2014 09:39:45 GMT а чем апач хуже нгинкса? ну только аргументированно по пунктикам. <br> Обновление nginx 1.4.7 с устранением опасной уязвимости в ре... (Аноним) https://www.opennet.me/openforum/vsluhforumID3/94962.html#14 Thu, 20 Mar 2014 08:50:58 GMT модуль spdy - экспериментальный, в дефолтных пакетах его нет.<br><br>честно предупреждают [1]:<br><br>&gt; Известные проблемы<br>&gt;<br>&gt;Модуль экспериментальный, поэтому возможно всё.<br><br>[1] http://nginx.org/ru/docs/http/ngx_http_spdy_module.html<br> Обновление nginx 1.4.7 с устранением опасной уязвимости в ре... (Аноним) https://www.opennet.me/openforum/vsluhforumID3/94962.html#13 Wed, 19 Mar 2014 12:40:10 GMT как замена апачу - N2O нормально.<br>или Ковбой, если есть клиенты мобильные, где платформа имеет забагованную, пока, вебсокетов поддержку.<br>ngnx для малвера хорошо. криминалитет, правительство, провайдеры - оченно его любят.<br>как вебсервер как таковой - оно не але для XXI, хотя на фоне апача - выпукло получше.<br>но стоит ли ставить слабость апача - в достоинство другому продукту ? не думаю.<br> Обновление nginx 1.4.7 с устранением опасной уязвимости в ре... (Аноним) https://www.opennet.me/openforum/vsluhforumID3/94962.html#12 Wed, 19 Mar 2014 08:01:18 GMT Один из разработчиков, выступавший на хайлоаде, говорил, что обе ветки стабильные и рекомендовал 1.5 для продакшена.<br> Обновление nginx 1.4.7 с устранением опасной уязвимости в ре... (irinat) https://www.opennet.me/openforum/vsluhforumID3/94962.html#11 Wed, 19 Mar 2014 07:48:46 GMT &gt; Ваш Debian немного устарел. ;) <br><br>Поясню. Сообщения об уязвимостях, приведенные анонимом, относятся к событиям времён Debian 5 и nginx 1.0.<br> Обновление nginx 1.4.7 с устранением опасной уязвимости в ре... (asand3r) https://www.opennet.me/openforum/vsluhforumID3/94962.html#10 Wed, 19 Mar 2014 04:55:46 GMT Ваш Debian немного устарел. ;)<br> Обновление nginx 1.4.7 с устранением опасной уязвимости в ре... (Аноним) https://www.opennet.me/openforum/vsluhforumID3/94962.html#9 Wed, 19 Mar 2014 04:39:18 GMT Всегда в nginx стабильными были только ветки со вторым чётным номером, с нечётным - нестабильные.<br>