The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Новая версия nginx 1.27.0 c устранением 4 уязвимостей в реализации HTTP/3"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Новая версия nginx 1.27.0 c устранением 4 уязвимостей в реализации HTTP/3"  +/
Сообщение от opennews (??), 29-Май-24, 19:58 
Представлен первый выпуск новой основной ветки nginx 1.27.0, в рамках которой будет продолжено развитие новых возможностей. Одновременно сформирован выпуск nginx 1.26.1, относящийся к параллельно поддерживаемой стабильной ветке, в которую  вносятся только изменения, связанные с устранением серьёзных ошибок и уязвимостей. В следующем году на базе основной ветки 1.27.x будет сформирована стабильная ветка 1.28. Код проекта написан на языке Си и распространяется под лицензией BSD...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=61269

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Новая версия nginx 1.27.0 c устранением 4 уязвимостей в реал..."  +4 +/
Сообщение от Аноним (1), 29-Май-24, 19:58 
Опять CVE для дев ветки? Дунин опять уйдёт из F5?
Ответить | Правка | Наверх | Cообщить модератору

22. "Новая версия nginx 1.27.0 c устранением 4 уязвимостей в реал..."  +1 +/
Сообщение от Аноним (-), 30-Май-24, 00:33 
> Опять CVE для дев ветки?
> Дунин опять уйдёт из F5?

Конечно!
Но только после того, как заберет патчи в свою Свободную™ версию

Ответить | Правка | Наверх | Cообщить модератору

2. "Новая версия nginx 1.27.0 c устранением 4 уязвимостей в реал..."  +4 +/
Сообщение от morphe (?), 29-Май-24, 20:52 
Тем временем реализация на Rust модуля quic под nginx от cloudflare давно работает в проде, и не имеет известных уязвимостей
Ответить | Правка | Наверх | Cообщить модератору

3. "Новая версия nginx 1.27.0 c устранением 4 уязвимостей в реал..."  –1 +/
Сообщение от Аноним (3), 29-Май-24, 20:54 
> работает в проде
> не имеет известных уязвимостей

Это ещё не аргумент в пользу модных язычков.

Ответить | Правка | Наверх | Cообщить модератору

38. "Новая версия nginx 1.27.0 c устранением 4 уязвимостей в реал..."  +2 +/
Сообщение от Аноним (-), 30-Май-24, 11:04 
> Это ещё не аргумент в пользу модных язычков.

Конечно! Нужно использовать древнейший копролитный язык, и проект на нем, в котором точно есть известные уязвимости!
Их же можно будет искать и исправлять десятилетиями.
Заодно без работы не останутся)

Ответить | Правка | Наверх | Cообщить модератору

4. "Новая версия nginx 1.27.0 c устранением 4 уязвимостей в реал..."  +/
Сообщение от Аноним (4), 29-Май-24, 21:17 
>не имеет известных уязвимостей

Ну ничего, зато неизвестные на месте, учитывая количество unsafe блоков в ржавых проектах.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

18. "Новая версия nginx 1.27.0 c устранением 4 уязвимостей в реал..."  –2 +/
Сообщение от Аноним (3), 29-Май-24, 23:50 
Ну найдите хоть одну :)

Код на сишке — это 100% unsafe. Код на rust с одним unsafe на 1000 строк — 0.1% unsafe.

Ответить | Правка | Наверх | Cообщить модератору

5. "Новая версия nginx 1.27.0 c устранением 4 уязвимостей в реал..."  –1 +/
Сообщение от Анонимemail (5), 29-Май-24, 21:30 
Тем временем клоунфларе с помощью ресурсов типа ценсис и днсдампстер обходится с вероятностью процентов 80.
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

8. "Новая версия nginx 1.27.0 c устранением 4 уязвимостей в реал..."  –1 +/
Сообщение от Аноним (8), 29-Май-24, 22:38 
> с вероятностью процентов 80

Показывай, как рассчитывал. И заодно расскажи, как тебе эти погремушки помогают пробить фаерволл и mTLS.

Обожаю опеннетных кекспертов, от кого ещё узнаешь о чём пацаны за гаражами болтают?

Ответить | Правка | Наверх | Cообщить модератору

17. "Новая версия nginx 1.27.0 c устранением 4 уязвимостей в реал..."  +/
Сообщение от Аноним (3), 29-Май-24, 23:49 
Если злоумышленники знают ваш внешний адрес, на который ходит cloudflare, они могут легко залить вас трафиком, и никакой фаервол вам не поможет. И cloudflare сможет только показать, что конечный сервер недоступен.
Ответить | Правка | Наверх | Cообщить модератору

23. "Новая версия nginx 1.27.0 c устранением 4 уязвимостей в реал..."  +/
Сообщение от Аноним (8), 30-Май-24, 01:47 
> Если злоумышленники знают
> Если

А если не знают? Да и откуда им его узнать, если эндпоинт ником кроме CF не отвечает?

Ответить | Правка | Наверх | Cообщить модератору

35. "Новая версия nginx 1.27.0 c устранением 4 уязвимостей в реал..."  +/
Сообщение от Анонимemail (5), 30-Май-24, 10:20 
Исключительно ежедневная практика и статистика.
Судя по тому, что ты написал ты в принципе не понимаешь как WAF такого типа работает и что за ценсис с днсдампстером.
Так что теоретизируй на кафедре с другими всезнайками дальше.
Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

53. "Новая версия nginx 1.27.0 c устранением 4 уязвимостей в реал..."  +1 +/
Сообщение от Аноним (8), 30-Май-24, 19:00 
> Исключительно ежедневная практика и статистика.

Стало быть точно пацаны за гаражами рассказывали. Ни ценсис, ни днсдампер тебе никак не помогут найти бэкэнд за «WAF такого типа», при условии, что всё настроено по BCP. Я это на практике знаю, так как всех своих клиентов первым делом подключаю к публичному интернету через CF, специально чтобы школьники с ценсисом в логах не шумели. Но даже если я перечислю все подсети, тебе это всё равно никак не поможет. Трафик тупо заблэкхолится на границе AS наших аплинков.

Ответить | Правка | Наверх | Cообщить модератору

15. "Новая версия nginx 1.27.0 c устранением 4 уязвимостей в реал..."  –1 +/
Сообщение от Аноним (15), 29-Май-24, 22:57 
ну всё просто. любая программа имеет уязвимости особенно новая.
если они не найдены то она просто никому не нужна
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

25. "Новая версия nginx 1.27.0 c устранением 4 уязвимостей в реал..."  +/
Сообщение от Аноним (25), 30-Май-24, 03:26 
О, а можно ссылку на то как это завести.
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

43. "Новая версия nginx 1.27.0 c устранением 4 уязвимостей в реал..."  –1 +/
Сообщение от Аноним (-), 30-Май-24, 11:52 
> Тем временем реализация на Rust модуля quic под nginx от cloudflare давно
> работает в проде, и не имеет известных уязвимостей

Так новостей про "просто работает" много не насочиняешь)
Разве что "вышла новая версия", да и в комментах будет уныло.

А вот новость про типичную дырку "шел по буферу, считать не научился, вышел за пределы, все сломал" соберет кучу комментов.
А веселые обсуждения, это хорошо)


Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

7. "Новая версия nginx 1.27.0 c устранением 4 уязвимостей в реал..."  –1 +/
Сообщение от Аноним (8), 29-Май-24, 22:30 
> налажена сборка в NetBSD

Нужность примерно такая же, как и у самого форка. Как нельзя лучше иллюстрирует мой тезис о том, что «без корпоративного вмешательства» программисты будут бесконечно оптимизировать тулчейн.

Ответить | Правка | Наверх | Cообщить модератору

13. "Новая версия nginx 1.27.0 c устранением 4 уязвимостей в реал..."  +1 +/
Сообщение от Аноним (13), 29-Май-24, 22:47 
И чего? Есть в ТЗ поддержка нетбсд, программист взял тикет, закрыл. Причина тряски? Или ты не знаешь как работают команды людей?
Ответить | Правка | Наверх | Cообщить модератору

20. "Новая версия nginx 1.27.0 c устранением 4 уязвимостей в реал..."  +1 +/
Сообщение от Аноним (8), 30-Май-24, 00:25 
> Есть в ТЗ поддержка нетбсд
> Или ты не знаешь как работают команды людей?

Как команды работают я знаю очень хорошо, и потому с уверенностью могу сказать, что в ТЗ поддержки NetBSD нет и быть не может, потому что не существует валидного бизнес-кейса для поддержки маргинальных ОС.

Ответить | Правка | Наверх | Cообщить модератору

27. "Новая версия nginx 1.27.0 c устранением 4 уязвимостей в реал..."  +1 +/
Сообщение от Аноним (27), 30-Май-24, 03:46 
А какое ваше дело, чем человек занимается в свое свободное время? Он вам что-то должен? Долговая расписка есть?
Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

54. "Новая версия nginx 1.27.0 c устранением 4 уязвимостей в реал..."  +/
Сообщение от Аноним (8), 30-Май-24, 19:02 
Так это всё-таки хобби-проект, как и предполагалось изначально. А чего тогда Дунин пыжился, мол, ещё неизвестно кто форк? Цену себе набивал?
Ответить | Правка | Наверх | Cообщить модератору

16. "Новая версия nginx 1.27.0 c устранением 4 уязвимостей в реал..."  +1 +/
Сообщение от Аноним (15), 29-Май-24, 23:22 
почему бы не стандартизировать интерфейс для подобных протоколов и потом браузер сначала скачивает с сервера и кеширует код для протокола запускает его и дальше работает как задумано.
Ответить | Правка | Наверх | Cообщить модератору

50. "Новая версия nginx 1.27.0 c устранением 4 уязвимостей в реал..."  +/
Сообщение от Аноним (50), 30-Май-24, 16:00 
Стандартизация подразумевает множество реализации. А догорняк – реализации тех, кого надо и с кем надо договориться. Потом у них все возьмут и будут сверяться как с эталоном. И так много западных технологий работают.
Ответить | Правка | Наверх | Cообщить модератору

19. Скрыто модератором  –1 +/
Сообщение от Аноним (-), 30-Май-24, 00:18 
Ответить | Правка | Наверх | Cообщить модератору

34. Скрыто модератором  +/
Сообщение от Ann (??), 30-Май-24, 09:48 
Ответить | Правка | Наверх | Cообщить модератору

37. Скрыто модератором  –1 +/
Сообщение от Аноним (-), 30-Май-24, 10:38 
Ответить | Правка | Наверх | Cообщить модератору

44. Скрыто модератором  +/
Сообщение от Аноним (44), 30-Май-24, 11:53 
Ответить | Правка | Наверх | Cообщить модератору

49. Скрыто модератором  +/
Сообщение от Аноним (-), 30-Май-24, 14:49 
Ответить | Правка | Наверх | Cообщить модератору

42. Скрыто модератором  +/
Сообщение от Аноним (44), 30-Май-24, 11:51 
Ответить | Правка | К родителю #34 | Наверх | Cообщить модератору

21. "Новая версия nginx 1.27.0 c устранением 4 уязвимостей в реал..."  +/
Сообщение от Анонин (-), 30-Май-24, 00:29 
Фиксы как всегда шикарны))

+ qb->last_chain = NULL;
Ну забыли занулить, бывает, дело то житейское)

- elts = ngx_alloc(max * sizeof(void *), c->log);
+ elts = ngx_alloc((max + 1) * sizeof(void *), c->log);
Не умеем считать размер выделяемой памяти начиная с 1972 года...

+ st->value.data = (u_char *) "";
Зачем инициализировать данные, если можно про это забыть. Дважды!

+ if ((size_t) (end - p) < len)
Проверка входных данных - это особое тайное знание.
О котором большинство сишников даже не догадывается...

Отдельное спасибо автору новости, который не поленился привести ссылки на их гит для каждой из уязвимостей.

Ответить | Правка | Наверх | Cообщить модератору

24. "Новая версия nginx 1.27.0 c устранением 4 уязвимостей в реал..."  –1 +/
Сообщение от Rev (?), 30-Май-24, 02:39 
Да, такое впечатление, что писано жопой. Или студентами.

А сколько вою на болотах стоит на тему "скиллы всё решают, раст не нужен"!

Ответить | Правка | Наверх | Cообщить модератору

32. "Новая версия nginx 1.27.0 c устранением 4 уязвимостей в реал..."  +1 +/
Сообщение от Tron is Whistling (?), 30-Май-24, 09:23 
Да он и не нужен, независимо от прочих факторов.
Ответить | Правка | Наверх | Cообщить модератору

40. "Новая версия nginx 1.27.0 c устранением 4 уязвимостей в реал..."  +/
Сообщение от Аноним (44), 30-Май-24, 11:50 
Только все нормальные веб серверы написаны на Go. Раст отстал в этом плане на миллион лет от нормальных языков.
Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

28. "Новая версия nginx 1.27.0 c устранением 4 уязвимостей в реал..."  +1 +/
Сообщение от Аноним (27), 30-Май-24, 03:50 
Это модуль в стадии разработки. На сайте английским (да и русским) по белому написано, что для продакшена не готово.

Ну, Сысоев с Дуниным, конечно, лучше писали и с первого раза, но они вообще среди лучших. Но и тут нормально, до релиза нашли и исправили, всё хорошо.

Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

55. "Новая версия nginx 1.27.0 c устранением 4 уязвимостей в реал..."  +/
Сообщение от Аноним (8), 01-Июн-24, 17:50 
Сысоев и Дунин, возможно, хорошие кодеры, но время показало в очередной раз, что даже самые лучшие кодеры в лучшем случае посредственные программисты, и совсем никакие архитекторы. Подробности о плохом дизайне Nginx можно почитать да хоть у тех же CloudFlare, которые в отличие от местных анонимов с вэпээсочкой за два евро в месяц использовали Nginx в проде в хвост и в гриву.
Ответить | Правка | Наверх | Cообщить модератору

29. "Новая версия nginx 1.27.0 c устранением 4 уязвимостей в реал..."  +/
Сообщение от Аноним (29), 30-Май-24, 05:42 
Так надо было на С++ писать сразу. Raii и всё.
Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

41. "Новая версия nginx 1.27.0 c устранением 4 уязвимостей в реал..."  +/
Сообщение от Аноним (44), 30-Май-24, 11:51 
И как ты потом будешь мериться синтетикой которая будет показывать дико плохие результаты?
Ответить | Правка | Наверх | Cообщить модератору

31. "Новая версия nginx 1.27.0 c устранением 4 уязвимостей в реал..."  +1 +/
Сообщение от Совершенно другой аноним (?), 30-Май-24, 09:12 
> + st->value.data = (u_char *) "";
> Зачем инициализировать данные, если можно про это забыть. Дважды!

Ну, Вы вот тоже не смогли до 3-рёх посчитать...

Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру