forum.opennet.ru - "Обновление nginx 1.4.7 с устранением опасной уязвимости в ре..." (17)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Обновление nginx 1.4.7 с устранением опасной уязвимости в ре..."

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Обновление nginx 1.4.7 с устранением опасной уязвимости в ре..."	+/–
Сообщение от opennews (??) on 18-Мрт-14, 23:12
Доступны обновления стабильной (1.4.7 (http://mailman.nginx.org/pipermail/nginx-announce/2014/00013...)) и экспериментальной (1.5.12 (http://mailman.nginx.org/pipermail/nginx-announce/2014/00013...)) ветки http-сервера nginx (http://www.nginx.org) с устранением уязвимости (http://mailman.nginx.org/pipermail/nginx-announce/2014/00013...) (CVE-2014-0133) в модуле ngx_http_spdy_module. Проблема проявляется в переполнении буфера при выполнении специально сформированных запросов по протоколу SPDY и может потенциально привести в выполнению кода атакующего с правами рабочего процесса nginx. Следует отметить, что реализация протокола SPDY носит экспериментальный характер и не включена по умолчанию. Проблема затрагивает все версии nginx, начиная с 1.3.15, собранные с поддержкой модуля ngx_http_spdy_module без использования отладочного режима ("--with-debug"), в которых в файле конфигурации активирована опция "spdy" в директиве "listen". URL: http://mailman.nginx.org/pipermail/nginx-announce/2014/00013... Новость: http://www.opennet.me/opennews/art.shtml?num=39344
Ответить \| Правка \| Cообщить модератору

Оглавление

Обновление nginx 1.4.7 с устранением опасной уязвимости в ре..., Аноним, 23:12 , 18-Мрт-14, (1)

Обновление nginx 1.4.7 с устранением опасной уязвимости в ре..., Аноним, 00:17 , 19-Мрт-14, (5) +1

Обновление nginx 1.4.7 с устранением опасной уязвимости в ре..., Аноним, 00:42 , 19-Мрт-14, (6) –2

Обновление nginx 1.4.7 с устранением опасной уязвимости в ре..., cvsup1, 00:48 , 19-Мрт-14, (7)

Обновление nginx 1.4.7 с устранением опасной уязвимости в ре..., cvsup1, 00:51 , 19-Мрт-14, (8)

Обновление nginx 1.4.7 с устранением опасной уязвимости в ре..., Аноним, 08:39 , 19-Мрт-14, (9)

Обновление nginx 1.4.7 с устранением опасной уязвимости в ре..., Аноним, 12:01 , 19-Мрт-14, (12) –1

Обновление nginx 1.4.7 с устранением опасной уязвимости в ре..., Аноним, 12:50 , 20-Мрт-14, (14)

Обновление nginx 1.4.7 с устранением опасной уязвимости в ре..., Аноним, 18:50 , 20-Мрт-14, (17)

Обновление nginx 1.4.7 с устранением опасной уязвимости в ре..., Аноним, 23:31 , 18-Мрт-14, (2) –4

Обновление nginx 1.4.7 с устранением опасной уязвимости в ре..., Аноним, 23:48 , 18-Мрт-14, (3) +2
Обновление nginx 1.4.7 с устранением опасной уязвимости в ре..., irinat, 00:05 , 19-Мрт-14, (4) +1

Обновление nginx 1.4.7 с устранением опасной уязвимости в ре..., asand3r, 08:55 , 19-Мрт-14, (10) –3

Обновление nginx 1.4.7 с устранением опасной уязвимости в ре..., irinat, 11:48 , 19-Мрт-14, (11)

Обновление nginx 1.4.7 с устранением опасной уязвимости в ре..., Аноним, 16:40 , 19-Мрт-14, (13) –1

Обновление nginx 1.4.7 с устранением опасной уязвимости в ре..., user455, 13:39 , 20-Мрт-14, (15) –1
Обновление nginx 1.4.7 с устранением опасной уязвимости в ре..., D, 14:58 , 20-Мрт-14, (16)

Сообщения по теме [Сортировка по времени | RSS]

1. "Обновление nginx 1.4.7 с устранением опасной уязвимости в ре..." +/–

Сообщение от Аноним (??) on 18-Мрт-14, 23:12

> экспериментальной (1.5.12) ветки
В каком месте она экспериментальная?  На сайте написано - "основная".

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Обновление nginx 1.4.7 с устранением опасной уязвимости в ре..." +1 +/–

Сообщение от Аноним (??) on 19-Мрт-14, 00:17

> В каком месте она экспериментальная?  На сайте написано - "основная".
На сайте nginx.org написано "mainline", что означает "находящаяся в разработке",  стабильная ветка 1.4, а 1.5 для экспериментов на свой страх и риск. После стабилизации на основе 1.5 будет выпущена стабильная ветка 1.6.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

6. "Обновление nginx 1.4.7 с устранением опасной уязвимости в ре..." –2 +/–

Сообщение от Аноним (??) on 19-Мрт-14, 00:42

>> В каком месте она экспериментальная?  На сайте написано - "основная".
> На сайте nginx.org написано "mainline", что означает "находящаяся в разработке",  стабильная
> ветка 1.4, а 1.5 для экспериментов на свой страх и риск.
> После стабилизации на основе 1.5 будет выпущена стабильная ветка 1.6.
С чего вы взяли? Где это написано? На сайте nginx.org/ru/ написано основная версия.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Обновление nginx 1.4.7 с устранением опасной уязвимости в ре..." +/–

Сообщение от cvsup1 on 19-Мрт-14, 00:48

http://nginx.org/ru/docs/http/ngx_http_spdy_module.html

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

8. "Обновление nginx 1.4.7 с устранением опасной уязвимости в ре..." +/–

Сообщение от cvsup1 on 19-Мрт-14, 00:51

P.S.
касаемо "экспериментальной ветки" - согласен, я не нашел слова "experimental" в слове "mainline"

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Обновление nginx 1.4.7 с устранением опасной уязвимости в ре..." +/–

Сообщение от Аноним (??) on 19-Мрт-14, 08:39

Всегда в nginx стабильными были только ветки со вторым чётным номером,  с нечётным - нестабильные.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

12. "Обновление nginx 1.4.7 с устранением опасной уязвимости в ре..." –1 +/–

Сообщение от Аноним (??) on 19-Мрт-14, 12:01

Один из разработчиков, выступавший на хайлоаде, говорил, что обе ветки стабильные и рекомендовал 1.5 для продакшена.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

14. "Обновление nginx 1.4.7 с устранением опасной уязвимости в ре..." +/–

Сообщение от Аноним (??) on 20-Мрт-14, 12:50

модуль spdy - экспериментальный, в дефолтных пакетах его нет.
честно предупреждают [1]:
> Известные проблемы
>
>Модуль экспериментальный, поэтому возможно всё.
[1] http://nginx.org/ru/docs/http/ngx_http_spdy_module.html

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

17. "Обновление nginx 1.4.7 с устранением опасной уязвимости в ре..." +/–

Сообщение от Аноним (??) on 20-Мрт-14, 18:50

Модуль же, но не ветка (как было написано в первоначальной версии новости).

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

2. "Обновление nginx 1.4.7 с устранением опасной уязвимости в ре..." –4 +/–

Сообщение от Аноним (??) on 18-Мрт-14, 23:31

http://www.securityfocus.com/bid/59496
http://www.securityfocus.com/bid/59323
http://www.securityfocus.com/bid/52999
http://www.securityfocus.com/bid/50710
http://www.securityfocus.com/bid/36839
http://www.securityfocus.com/bid/36384
Все-таки nginx - неплохая замена Apache, когда нужно организовать общедоступный shell-сервер. И достойный конкурент proftpd на этом поле.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Обновление nginx 1.4.7 с устранением опасной уязвимости в ре..." +2 +/–

Сообщение от Аноним (??) on 18-Мрт-14, 23:48

А что, ssh запустить - слишком просто?

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Обновление nginx 1.4.7 с устранением опасной уязвимости в ре..." +1 +/–

Сообщение от irinat (ok) on 19-Мрт-14, 00:05

Nginx 0.8, nginx 1.0, debian 5. Ваши новости, кхм, немного устарели.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

10. "Обновление nginx 1.4.7 с устранением опасной уязвимости в ре..." –3 +/–

Сообщение от asand3r on 19-Мрт-14, 08:55

Ваш Debian немного устарел. ;)

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

11. "Обновление nginx 1.4.7 с устранением опасной уязвимости в ре..." +/–

Сообщение от irinat (ok) on 19-Мрт-14, 11:48

> Ваш Debian немного устарел. ;)
Поясню. Сообщения об уязвимостях, приведенные анонимом, относятся к событиям времён Debian 5 и nginx 1.0.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

13. "Обновление nginx 1.4.7 с устранением опасной уязвимости в ре..." –1 +/–

Сообщение от Аноним (??) on 19-Мрт-14, 16:40

как замена апачу - N2O нормально.
или Ковбой, если есть клиенты мобильные, где платформа имеет забагованную, пока, вебсокетов поддержку.
ngnx для малвера хорошо. криминалитет, правительство, провайдеры - оченно его любят.
как вебсервер как таковой - оно не але для XXI, хотя на фоне апача - выпукло получше.
но стоит ли ставить слабость апача - в достоинство другому продукту ? не думаю.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

15. "Обновление nginx 1.4.7 с устранением опасной уязвимости в ре..." –1 +/–

Сообщение от user455 on 20-Мрт-14, 13:39

а чем апач хуже нгинкса? ну только аргументированно по пунктикам.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

16. "Обновление nginx 1.4.7 с устранением опасной уязвимости в ре..." +/–

Сообщение от D on 20-Мрт-14, 14:58

сохацкий, залогинтесь

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Обновление nginx 1.4.7 с устранением опасной уязвимости в ре..."	+/–
Сообщение от Аноним (??) on 18-Мрт-14, 23:12
> экспериментальной (1.5.12) ветки В каком месте она экспериментальная? На сайте написано - "основная".
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	5. "Обновление nginx 1.4.7 с устранением опасной уязвимости в ре..."	+1 +/–
	Сообщение от Аноним (??) on 19-Мрт-14, 00:17
	> В каком месте она экспериментальная? На сайте написано - "основная". На сайте nginx.org написано "mainline", что означает "находящаяся в разработке", стабильная ветка 1.4, а 1.5 для экспериментов на свой страх и риск. После стабилизации на основе 1.5 будет выпущена стабильная ветка 1.6.
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	6. "Обновление nginx 1.4.7 с устранением опасной уязвимости в ре..."	–2 +/–
	Сообщение от Аноним (??) on 19-Мрт-14, 00:42
	>> В каком месте она экспериментальная? На сайте написано - "основная". > На сайте nginx.org написано "mainline", что означает "находящаяся в разработке", стабильная > ветка 1.4, а 1.5 для экспериментов на свой страх и риск. > После стабилизации на основе 1.5 будет выпущена стабильная ветка 1.6. С чего вы взяли? Где это написано? На сайте nginx.org/ru/ написано основная версия.
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	7. "Обновление nginx 1.4.7 с устранением опасной уязвимости в ре..."	+/–
	Сообщение от cvsup1 on 19-Мрт-14, 00:48
	http://nginx.org/ru/docs/http/ngx_http_spdy_module.html
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	8. "Обновление nginx 1.4.7 с устранением опасной уязвимости в ре..."	+/–
	Сообщение от cvsup1 on 19-Мрт-14, 00:51
	P.S. касаемо "экспериментальной ветки" - согласен, я не нашел слова "experimental" в слове "mainline"
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору


	9. "Обновление nginx 1.4.7 с устранением опасной уязвимости в ре..."	+/–
	Сообщение от Аноним (??) on 19-Мрт-14, 08:39
	Всегда в nginx стабильными были только ветки со вторым чётным номером, с нечётным - нестабильные.
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору


	12. "Обновление nginx 1.4.7 с устранением опасной уязвимости в ре..."	–1 +/–
	Сообщение от Аноним (??) on 19-Мрт-14, 12:01
	Один из разработчиков, выступавший на хайлоаде, говорил, что обе ветки стабильные и рекомендовал 1.5 для продакшена.
	Ответить \| Правка \| ^ к родителю #9 \| Наверх \| Cообщить модератору


	14. "Обновление nginx 1.4.7 с устранением опасной уязвимости в ре..."	+/–
	Сообщение от Аноним (??) on 20-Мрт-14, 12:50
	модуль spdy - экспериментальный, в дефолтных пакетах его нет. честно предупреждают [1]: > Известные проблемы > >Модуль экспериментальный, поэтому возможно всё. [1] http://nginx.org/ru/docs/http/ngx_http_spdy_module.html
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	17. "Обновление nginx 1.4.7 с устранением опасной уязвимости в ре..."	+/–
	Сообщение от Аноним (??) on 20-Мрт-14, 18:50
	Модуль же, но не ветка (как было написано в первоначальной версии новости).
	Ответить \| Правка \| ^ к родителю #14 \| Наверх \| Cообщить модератору

2. "Обновление nginx 1.4.7 с устранением опасной уязвимости в ре..."	–4 +/–
Сообщение от Аноним (??) on 18-Мрт-14, 23:31
http://www.securityfocus.com/bid/59496 http://www.securityfocus.com/bid/59323 http://www.securityfocus.com/bid/52999 http://www.securityfocus.com/bid/50710 http://www.securityfocus.com/bid/36839 http://www.securityfocus.com/bid/36384 Все-таки nginx - неплохая замена Apache, когда нужно организовать общедоступный shell-сервер. И достойный конкурент proftpd на этом поле.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	3. "Обновление nginx 1.4.7 с устранением опасной уязвимости в ре..."	+2 +/–
	Сообщение от Аноним (??) on 18-Мрт-14, 23:48
	А что, ssh запустить - слишком просто?
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "Обновление nginx 1.4.7 с устранением опасной уязвимости в ре..."	+1 +/–
	Сообщение от irinat (ok) on 19-Мрт-14, 00:05
	Nginx 0.8, nginx 1.0, debian 5. Ваши новости, кхм, немного устарели.
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	10. "Обновление nginx 1.4.7 с устранением опасной уязвимости в ре..."	–3 +/–
	Сообщение от asand3r on 19-Мрт-14, 08:55
	Ваш Debian немного устарел. ;)
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	11. "Обновление nginx 1.4.7 с устранением опасной уязвимости в ре..."	+/–
	Сообщение от irinat (ok) on 19-Мрт-14, 11:48
	> Ваш Debian немного устарел. ;) Поясню. Сообщения об уязвимостях, приведенные анонимом, относятся к событиям времён Debian 5 и nginx 1.0.
	Ответить \| Правка \| ^ к родителю #10 \| Наверх \| Cообщить модератору


	13. "Обновление nginx 1.4.7 с устранением опасной уязвимости в ре..."	–1 +/–
	Сообщение от Аноним (??) on 19-Мрт-14, 16:40
	как замена апачу - N2O нормально. или Ковбой, если есть клиенты мобильные, где платформа имеет забагованную, пока, вебсокетов поддержку. ngnx для малвера хорошо. криминалитет, правительство, провайдеры - оченно его любят. как вебсервер как таковой - оно не але для XXI, хотя на фоне апача - выпукло получше. но стоит ли ставить слабость апача - в достоинство другому продукту ? не думаю.
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	15. "Обновление nginx 1.4.7 с устранением опасной уязвимости в ре..."	–1 +/–
	Сообщение от user455 on 20-Мрт-14, 13:39
	а чем апач хуже нгинкса? ну только аргументированно по пунктикам.
	Ответить \| Правка \| ^ к родителю #13 \| Наверх \| Cообщить модератору


	16. "Обновление nginx 1.4.7 с устранением опасной уязвимости в ре..."	+/–
	Сообщение от D on 20-Мрт-14, 14:58
	сохацкий, залогинтесь
	Ответить \| Правка \| ^ к родителю #13 \| Наверх \| Cообщить модератору