URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 134193
[ Назад ]
Исходное сообщение
"Релиз http-сервера Apache 2.4.61 с устранением уязвимостей"
Отправлено opennews , 03-Июл-24 23:14 
Доступен релиз HTTP-сервера Apache 2.4.61, который опубликован почти сразу после выпуска  2.4.60 и включает исправление регрессивного изменения, вызвавшего уязвимость (CVE-2024-39884), позволяющую посмотреть код скриптов, обработка которых настроена при помощи директивы AddType (например, можно сформировать специально оформленный запрос к PHP-скрипту, который приведёт к показу его содержимого, а не выполнения)...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=61485

Содержание
Сообщения в этом обсуждении
"Релиз http-сервера Apache 2.4.61 с устранением уязвимостей"
Отправлено Александр Пистолетов , 03-Июл-24 23:14 
Эх, помню времена php + MySQL + apache на хостинге по 10 у.е. за 100 мега(!)байт. А щаз оно где-то используется кроме легаси?
"Релиз http-сервера Apache 2.4.61 с устранением уязвимостей"
Отправлено Gorge , 03-Июл-24 23:27 
Почти нигде не используется. Большинство сайтов сейчас работает на kubernetes.
"Релиз http-сервера Apache 2.4.61 с устранением уязвимостей"
Отправлено Ramiralez , 03-Июл-24 23:43 
Ойли? Регулярно натыкаюсь на сбои достаточно крупных сайтов, где не настроили нормально логи и вижу, что наебизнес все также активно юзает старый добрый шаред хостинг)
"Релиз http-сервера Apache 2.4.61 с устранением уязвимостей"
Отправлено Аноним , 04-Июл-24 13:15 
А внутри Кубернетиса что вебсервером?
"Релиз http-сервера Apache 2.4.61 с устранением уязвимостей"
Отправлено anonymous , 04-Июл-24 14:12 
Магия.
"Релиз http-сервера Apache 2.4.61 с устранением уязвимостей"
Отправлено noc101 , 04-Июл-24 20:31 
> А внутри Кубернетиса что вебсервером?

Кубернетис наверное)))

"Релиз http-сервера Apache 2.4.61 с устранением уязвимостей"
Отправлено Аноним , 06-Июл-24 03:42 
Томкат
"Релиз http-сервера Apache 2.4.61 с устранением уязвимостей"
Отправлено нах. , 04-Июл-24 00:17 
используется - примерно у тех самых недохостеров по 10 уе.

Правда обычно сверху прикрыто nginx, но юзеру этого не видно.

"Релиз http-сервера Apache 2.4.61 с устранением уязвимостей"
Отправлено Аноним , 04-Июл-24 19:28 
> используется - примерно у тех самых недохостеров по 10 уе.

Ну если учесть что за половину от этого можно взять KVM виртуалку, с которой залить полинтернета, нахрен, особенно если nginx взять...

"Релиз http-сервера Apache 2.4.61 с устранением уязвимостей"
Отправлено нах. , 05-Июл-24 11:54 
>> используется - примерно у тех самых недохостеров по 10 уе.
> Ну если учесть что за половину от этого можно взять KVM виртуалку,

И вдесятеро больше заплатить прикованному криворукчке чтоб он на нее нгынкси ставил?
Вот спасибо-то!

Смысл шаредхостинга давным-давно уже не в том чтобы запихать невпиxyeмое. Смысл в том чтобы избавить клиента от траходрома с настройками.

managed виртуалки - сильно дороже 10 уе. И лучше бы тебе не знать, как они managed. Потому что это как раз адова работа, ибо у каждого гения там своя кривуля получится.

А тут - в вебинтерфейсике (ftp ж немодно) tar залил, оно там распаковалось, и как-то работает.
(и да, по этой причине нам нужен .htaccess, чтобы те кто юзеру наслесарили вот это - могли в тот тар сложить все свои местные настройки, а не требовать от хостера того, сами не знают, чего)

"Релиз http-сервера Apache 2.4.61 с устранением уязвимостей"
Отправлено Аноним , 05-Июл-24 18:48 
Для этого уже давно придумали развертывание приложений в контейнерах. Тыкнул кнопочку - и вот у тебя вордпресс, джумла, опенкарт или что там тебе надо. Ни про какие htaccess и прочие тары знать не надо.
"Релиз http-сервера Apache 2.4.61 с устранением уязвимостей"
Отправлено scriptkiddis , 06-Июл-24 03:25 
Да можно вообще ни про что не знать. Вам бы как раз все меньше и меньше знаний.
"Релиз http-сервера Apache 2.4.61 с устранением уязвимостей"
Отправлено Роман , 05-Июл-24 11:57 
придётся еще и админа брать или может даже программиста - бэкапчика там хоть какие-то, чтобы почта доставлялась, а не пропадала, домены и всякие там ссл сертификаты. Это слегка больше будет стоить.
"Релиз http-сервера Apache 2.4.61 с устранением уязвимостей"
Отправлено нах. , 05-Июл-24 16:25 
> придётся еще и админа брать или может даже программиста

или даже двух, потому что один попадет под асфальтовый каток, и все - начинай заново. (бывало что даже домены такие лавочки вынуждены были новые себе регить - от старого никто не знал ни учеток, ни данных. А тут - целый сервер!)

"Релиз http-сервера Apache 2.4.61 с устранением уязвимостей"
Отправлено noc101 , 04-Июл-24 00:46 
Апач используется много где. 40% сайтов на нем крутся. Потом идет nginx, но в большинстве случаев за nginx стоит апач.
"Релиз http-сервера Apache 2.4.61 с устранением уязвимостей"
Отправлено Ilya Indigo , 04-Июл-24 04:51 
В 99.99% случаев это нужно исключительно для .htaccess чтобы криворукие админы г-но сайтов на вёрдпрессе не положили весь г-но хостинг.
Для нормальных сайтов используются VPS-ки с чистым nginx, или с модулем lua или openresty.
"Релиз http-сервера Apache 2.4.61 с устранением уязвимостей"
Отправлено Роман , 05-Июл-24 12:00 
секрет в том что никаких админов и нет, условный отдел маркетинга за такое счастье готов пойти на жертвы в виде требования .htaccess и делает это легко, ибо никакого .htaccess для них тоже нет.

"Релиз http-сервера Apache 2.4.61 с устранением уязвимостей"
Отправлено Ilya Indigo , 05-Июл-24 12:23 
> секрет в том что никаких админов и нет, условный отдел маркетинга за
> такое счастье готов пойти на жертвы в виде требования .htaccess и
> делает это легко, ибо никакого .htaccess для них тоже нет.

Вот таких условных маркетологов я и называю г-но админами, которые админами не являются, а 301-ые редиректы и 403/410 коды прописывать им нужно.

"Релиз http-сервера Apache 2.4.61 с устранением уязвимостей"
Отправлено Роман , 05-Июл-24 17:55 
>> секрет в том что никаких админов и нет, условный отдел маркетинга за
>> такое счастье готов пойти на жертвы в виде требования .htaccess и
>> делает это легко, ибо никакого .htaccess для них тоже нет.
> Вот таких условных маркетологов я и называю г-но админами, которые админами не
> являются, а 301-ые редиректы и 403/410 коды прописывать им нужно.

Технически вы конечно правы - можно и меня говнобалериной назвать если я вдруг при хорошем настроении под музыку подпрыгну, но рационально - смысла никакого так делать - я не мню себя балериной и они себя одминами, lo code/no code soltution жеж, красота

"Релиз http-сервера Apache 2.4.61 с устранением уязвимостей"
Отправлено Аноним , 03-Июл-24 23:24 
Жива еще легенда!
"Релиз http-сервера Apache 2.4.61 с устранением уязвимостей"
Отправлено Аноним , 04-Июл-24 18:41 
я бы caddy webserver попробовал
"Релиз http-сервера Apache 2.4.61 с устранением уязвимостей"
Отправлено голос из леса , 03-Июл-24 23:28 
>> CVE-2024-38473 - проблема в mod_proxy, позволяющая через использование некорректной кодировки в URL добиться обхода аутентификации к сервисам на бэкенде.

Это как вообще?

"Релиз http-сервера Apache 2.4.61 с устранением уязвимостей"
Отправлено Аноним , 04-Июл-24 00:04 
Читать в оригинале надо. Там encoding. Вероятно - речь про умышленно некорректно сформированный urlencode.
"Релиз http-сервера Apache 2.4.61 с устранением уязвимостей"
Отправлено Anonimous , 05-Июл-24 05:39 
В nextcloud он до сих пор предпочитаемый вариант.
"Релиз http-сервера Apache 2.4.61 с устранением уязвимостей"
Отправлено Аноним , 06-Июл-24 03:41 
Звучит как что то из 2000-х