forum.opennet.ru - "Обновление nginx 1.14.1 и 1.15.6 с устранением трёх уязвимостей" (14)

"Обновление nginx 1.14.1 и 1.15.6 с устранением трёх уязвимостей"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Обновление nginx 1.14.1 и 1.15.6 с устранением трёх уязвимостей"	+/–
Сообщение от opennews (??), 06-Ноя-18, 20:19
Опубликованы (http://mailman.nginx.org/pipermail/nginx-announce/2018/00021...) новые выпуски основной и стабильной веток высокопроизводительного HTTP-сервера nginx (http://nginx.org/en/download.html) - 1.14.1 (http://mailman.nginx.org/pipermail/nginx-announce/2018/00021...) и 1.15.6 (http://mailman.nginx.org/pipermail/nginx-announce/2018/00021...), в которых устранены три уязвимости (http://nginx.org/en/security_advisories.html): - CVE-2018-16845 (http://mailman.nginx.org/pipermail/nginx-announce/2018/00022...) - ошибка в модуле ngx_http_mp4_module (не собирается по умолчанию) может привести к краху рабочего процесса или отправке в составе ответа содержимого областей памяти рабочего процесса при обработке специально оформленных файлов mp4; - CVE-2018-16843 (http://mailman.nginx.org/pipermail/nginx-announce/2018/00022...) - DoS-уявзимость в реализации протокола HTTP/2, которая может привести к исчерпанию доступной процессу памяти. Проблема проявляется только при использовании модуля ngx_http_v2_module и указании опции "http2" в блоке "listen"; - CVE-2018-16844 (http://mailman.nginx.org/pipermail/nginx-announce/2018/00022...) - DoS-уявзимость в реализации протокола HTTP/2, которая может привести к утилизации доступных ресурсов CPU. В выпуске 1.15.6 дополнительно добавлены новые директивы "proxy_socket_keepalive (https://nginx.org/en/docs/http/ngx_http_proxy_module.html#pr...)", "fastcgi_socket_keepalive", "grpc_socket_keepalive", "memcached_socket_keepalive", "scgi_socket_keepalive", и "uwsgi_socket_keepalive" для настройки keepalive для исходящих соединений (включения или выключения опции SO_KEEPALIVE для сокетов). Исправлена ошибка, из-за которой протокол TLS 1.3 оставался постоянно включен при сборке с OpenSSL 1.1.0 и использовании OpenSSL 1.1.1. В бэкендах gRPC сокрашено потребление памяти. URL: http://mailman.nginx.org/pipermail/nginx-announce/2018/00021... Новость: https://www.opennet.me/opennews/art.shtml?num=49567
Ответить \| Правка \| Cообщить модератору

Оглавление

Так вот он чем лучше апача , Аноним (1), 20:19 , 06-Ноя-18, (1) –4

Только лишь в Apache 2 4 было в два раза больше уязвимостей, чем в nginx за всю , Аноним (4), 20:29 , 06-Ноя-18, (4) +6

И как это поможет критичным к вычислительных ресурсам задачам, таким как TLS и с, Аноним (4), 21:18 , 06-Ноя-18, (7)

А если считать только moderate DoS и pwn , проявляющиеся в дефолтной конфигурац, Fyjybv755 (?), 21:22 , 06-Ноя-18, (8) –1
История apache гораздо больше истории nginx, _KUL (ok), 00:12 , 07-Ноя-18, (9) +1

Поэтому, за всю историю apache уязвимостей было просто дохрена Где логика в, Аноним (15), 06:57 , 07-Ноя-18, (15) +3

Логика в том, что нужно мерять не уязвимости за все время жизни, а в среднем за , funny.falcon (?), 08:22 , 08-Ноя-18, (19)

nginx существует гораздо дольше, чем apache 2 4, а уязвимостей у него было вдвое, Аноним (21), 22:09 , 08-Ноя-18, (21) +2

http2 - нинужен, вот и доказательства , Ivan_83 (ok), 01:30 , 07-Ноя-18, (10) +1

эта оверинжиниренная бесполезная хрень ненужно даже если бы в ней не водилась ды, пох (?), 21:53 , 08-Ноя-18, (20)

Они еще живут в мире где есть TCP IP QUIC наше все , Аноним (14), 03:25 , 07-Ноя-18, (14) +1

для Ъ объясните, что такое QUIC, пожалуйста SCTP не смогло забороть TCP, а этот, Аноним (15), 06:59 , 07-Ноя-18, (16) –1

Идите посмотрите будущий стандарт HTTP 3 и где вы там видите TCP , Аноним (14), 09:00 , 07-Ноя-18, (18)

гугль, ты залогиниться забыл , пох (?), 07:45 , 07-Ноя-18, (17) +3

Сообщения [Сортировка по времени | RSS]

1. "Обновление nginx 1.14.1 и 1.15.6 с устранением трёх уязвимос..." –4 +/–

Сообщение от Аноним (1), 06-Ноя-18, 20:19

Так вот он чем лучше апача...

Ответить | Правка | Наверх | Cообщить модератору

4. "Обновление nginx 1.14.1 и 1.15.6 с устранением трёх уязвимос..." +6 +/–

Сообщение от Аноним (4), 06-Ноя-18, 20:29

Только лишь в Apache 2.4 было в два раза больше уязвимостей, чем в nginx за всю историю.
https://httpd.apache.org/security/vulnerabilities_24.html

Ответить | Правка | Наверх | Cообщить модератору

Часть нити удалена модератором

7. "Обновление nginx 1.14.1 и 1.15.6 с устранением трёх уязвимос..." +/–

Сообщение от Аноним (4), 06-Ноя-18, 21:18

> Зочем? У него же нормальный async polling
И как это поможет критичным к вычислительных ресурсам задачам, таким как TLS и сжатие на многоядерной системе (чуть менее чем все)?

Ответить | Правка | Наверх | Cообщить модератору

8. "Обновление nginx 1.14.1 и 1.15.6 с устранением трёх уязвимос..." –1 +/–

Сообщение от Fyjybv755 (?), 06-Ноя-18, 21:22

> Только лишь в Apache 2.4 было в два раза больше уязвимостей, чем в nginx за всю историю.
А если считать только moderate (DoS и pwn), проявляющиеся в дефолтной конфигурации?

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

9. "Обновление nginx 1.14.1 и 1.15.6 с устранением трёх уязвимос..." +1 +/–

Сообщение от _KUL (ok), 07-Ноя-18, 00:12

История apache гораздо больше истории nginx

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

15. "Обновление nginx 1.14.1 и 1.15.6 с устранением трёх уязвимос..." +3 +/–

Сообщение от Аноним (15), 07-Ноя-18, 06:57

... Поэтому, за всю историю apache уязвимостей было просто дохрена!
(Где логика в твоих словах? Если ты что-то хотел сказать - ты не договорил.)

Ответить | Правка | Наверх | Cообщить модератору

19. "Обновление nginx 1.14.1 и 1.15.6 с устранением трёх уязвимос..." +/–

Сообщение от funny.falcon (?), 08-Ноя-18, 08:22

Логика в том, что нужно мерять не уязвимости за все время жизни, а в среднем за год.

Ответить | Правка | Наверх | Cообщить модератору

21. "Обновление nginx 1.14.1 и 1.15.6 с устранением трёх уязвимос..." +2 +/–

Сообщение от Аноним (21), 08-Ноя-18, 22:09

nginx существует гораздо дольше, чем apache 2.4, а уязвимостей у него было вдвое меньше. Сами догадаетесь, у кого среднее в год будет меньше?
Только лишь в этом году у Apache было 10 CVE, а у nginx всего 3.

Ответить | Правка | Наверх | Cообщить модератору

10. "Обновление nginx 1.14.1 и 1.15.6 с устранением трёх уязвимос..." +1 +/–

Сообщение от Ivan_83 (ok), 07-Ноя-18, 01:30

http2 - нинужен, вот и доказательства.

Ответить | Правка | Наверх | Cообщить модератору

20. "Обновление nginx 1.14.1 и 1.15.6 с устранением трёх уязвимос..." +/–

Сообщение от пох (?), 08-Ноя-18, 21:53

эта оверинжиниренная бесполезная хрень ненужно даже если бы в ней не водилась дыра на дыре.
ну кроме, конечно же, гуглепейсбукотентаклей, продолжающих уничтожать любой интернет, кроме принадлежащего им.

Ответить | Правка | Наверх | Cообщить модератору

14. "Обновление nginx 1.14.1 и 1.15.6 с устранением трёх уязвимос..." +1 +/–

Сообщение от Аноним (14), 07-Ноя-18, 03:25

Они еще живут в мире где есть TCP/IP?
QUIC наше все!

Ответить | Правка | Наверх | Cообщить модератору

16. "Обновление nginx 1.14.1 и 1.15.6 с устранением трёх уязвимос..." –1 +/–

Сообщение от Аноним (15), 07-Ноя-18, 06:59

для Ъ объясните, что такое QUIC, пожалуйста.
SCTP не смогло забороть TCP, а этот квик - да?

Ответить | Правка | Наверх | Cообщить модератору

18. "Обновление nginx 1.14.1 и 1.15.6 с устранением трёх уязвимос..." +/–

Сообщение от Аноним (14), 07-Ноя-18, 09:00

> что такое QUIC, пожалуйста
Идите посмотрите будущий стандарт HTTP/3 и где вы там видите TCP?

Ответить | Правка | Наверх | Cообщить модератору

17. "Обновление nginx 1.14.1 и 1.15.6 с устранением трёх уязвимос..." +3 +/–

Сообщение от пох (?), 07-Ноя-18, 07:45

гугль, ты залогиниться забыл!

Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Обновление nginx 1.14.1 и 1.15.6 с устранением трёх уязвимос..."	–4 +/–
Сообщение от Аноним (1), 06-Ноя-18, 20:19
Так вот он чем лучше апача...
Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Обновление nginx 1.14.1 и 1.15.6 с устранением трёх уязвимос..."	+6 +/–
	Сообщение от Аноним (4), 06-Ноя-18, 20:29
	Только лишь в Apache 2.4 было в два раза больше уязвимостей, чем в nginx за всю историю. https://httpd.apache.org/security/vulnerabilities_24.html
	Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "Обновление nginx 1.14.1 и 1.15.6 с устранением трёх уязвимос..."	+/–
	Сообщение от Аноним (4), 06-Ноя-18, 21:18
	> Зочем? У него же нормальный async polling И как это поможет критичным к вычислительных ресурсам задачам, таким как TLS и сжатие на многоядерной системе (чуть менее чем все)?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Обновление nginx 1.14.1 и 1.15.6 с устранением трёх уязвимос..."	–1 +/–
	Сообщение от Fyjybv755 (?), 06-Ноя-18, 21:22
	> Только лишь в Apache 2.4 было в два раза больше уязвимостей, чем в nginx за всю историю. А если считать только moderate (DoS и pwn), проявляющиеся в дефолтной конфигурации?
	Ответить \| Правка \| К родителю #4 \| Наверх \| Cообщить модератору


	9. "Обновление nginx 1.14.1 и 1.15.6 с устранением трёх уязвимос..."	+1 +/–
	Сообщение от _KUL (ok), 07-Ноя-18, 00:12
	История apache гораздо больше истории nginx
	Ответить \| Правка \| К родителю #4 \| Наверх \| Cообщить модератору


	15. "Обновление nginx 1.14.1 и 1.15.6 с устранением трёх уязвимос..."	+3 +/–
	Сообщение от Аноним (15), 07-Ноя-18, 06:57
	... Поэтому, за всю историю apache уязвимостей было просто дохрена! (Где логика в твоих словах? Если ты что-то хотел сказать - ты не договорил.)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	19. "Обновление nginx 1.14.1 и 1.15.6 с устранением трёх уязвимос..."	+/–
	Сообщение от funny.falcon (?), 08-Ноя-18, 08:22
	Логика в том, что нужно мерять не уязвимости за все время жизни, а в среднем за год.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	21. "Обновление nginx 1.14.1 и 1.15.6 с устранением трёх уязвимос..."	+2 +/–
	Сообщение от Аноним (21), 08-Ноя-18, 22:09
	nginx существует гораздо дольше, чем apache 2.4, а уязвимостей у него было вдвое меньше. Сами догадаетесь, у кого среднее в год будет меньше? Только лишь в этом году у Apache было 10 CVE, а у nginx всего 3.
	Ответить \| Правка \| Наверх \| Cообщить модератору

10. "Обновление nginx 1.14.1 и 1.15.6 с устранением трёх уязвимос..."	+1 +/–
Сообщение от Ivan_83 (ok), 07-Ноя-18, 01:30
http2 - нинужен, вот и доказательства.
Ответить \| Правка \| Наверх \| Cообщить модератору


	20. "Обновление nginx 1.14.1 и 1.15.6 с устранением трёх уязвимос..."	+/–
	Сообщение от пох (?), 08-Ноя-18, 21:53
	эта оверинжиниренная бесполезная хрень ненужно даже если бы в ней не водилась дыра на дыре. ну кроме, конечно же, гуглепейсбукотентаклей, продолжающих уничтожать любой интернет, кроме принадлежащего им.
	Ответить \| Правка \| Наверх \| Cообщить модератору

14. "Обновление nginx 1.14.1 и 1.15.6 с устранением трёх уязвимос..."	+1 +/–
Сообщение от Аноним (14), 07-Ноя-18, 03:25
Они еще живут в мире где есть TCP/IP? QUIC наше все!
Ответить \| Правка \| Наверх \| Cообщить модератору


	16. "Обновление nginx 1.14.1 и 1.15.6 с устранением трёх уязвимос..."	–1 +/–
	Сообщение от Аноним (15), 07-Ноя-18, 06:59
	для Ъ объясните, что такое QUIC, пожалуйста. SCTP не смогло забороть TCP, а этот квик - да?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	18. "Обновление nginx 1.14.1 и 1.15.6 с устранением трёх уязвимос..."	+/–
	Сообщение от Аноним (14), 07-Ноя-18, 09:00
	> что такое QUIC, пожалуйста Идите посмотрите будущий стандарт HTTP/3 и где вы там видите TCP?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	17. "Обновление nginx 1.14.1 и 1.15.6 с устранением трёх уязвимос..."	+3 +/–
	Сообщение от пох (?), 07-Ноя-18, 07:45
	гугль, ты залогиниться забыл!
	Ответить \| Правка \| К родителю #14 \| Наверх \| Cообщить модератору