URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 108465
[ Назад ]

Исходное сообщение
"В HTTP-сервере Apache 2.4.23 устранена уязвимость"
Отправлено opennews , 07-Июл-16 00:36

Доступен (http://permalink.gmane.org/gmane.comp.apache.announce/82) релиз HTTP-сервера Apache 2.4.23 (http://httpd.apache.org/), в котором представлено 36 изменений, 17 из которых связаны с исправлениями в модуле mod_http2. Выпуски 2.4.21  и 2.4.22 были пропущены, следом за 2.4.20 сразу опубликован релиз 2.4.23.

В новом выпуске устранена уязвимость (http://permalink.gmane.org/gmane.comp.apache.announce/83) (CVE-2016-4979), которая позволяет обойти аутентификацию на основе клиентских сертификатов X509. Проблема проявляется только в системах, использующих HTTP/2, и позволяет получить доступ к  ресурсам, без предоставления необходимого для аутентификации сертификата.  Уязвимы версии httpd c 2.4.18 по 2.4.20 в которых активирован модуль mod_http2.

Из изменений, не связанных с безопасностью и исправлением ошибок,  можно отметить реализацию в mod_include конструкции "‹!--#comment текст комментария› (http://httpd.apache.org/docs/current/mod/mod_include.html#el...)" для определения комментариев в файлах SSI, а также добавление новой директивы CGIVar (http://httpd.apache.org/docs/current/mod/core.html#cgivar), при помощи которой можно определить правило заполнения переменной окружения REQUEST_URI (original-uri  для изначально запрошенного URI и current-uri для текущего URI).

URL: http://permalink.gmane.org/gmane.comp.apache.announce/82
Новость: http://www.opennet.me/opennews/art.shtml?num=44743

Содержание

В HTTP-сервере Apache 2.4.23 устранена уязвимость,Аноним, 00:36 , 07-Июл-16
- В HTTP-сервере Apache 2.4.23 устранена уязвимость,th3m3, 01:29 , 07-Июл-16
  - В HTTP-сервере Apache 2.4.23 устранена уязвимость,Аноним999, 02:22 , 07-Июл-16
    - В HTTP-сервере Apache 2.4.23 устранена уязвимость,th3m3, 11:10 , 07-Июл-16
      - В HTTP-сервере Apache 2.4.23 устранена уязвимость,angra, 11:52 , 07-Июл-16
        
        В HTTP-сервере Apache 2.4.23 устранена уязвимость,th3m3, 14:51 , 07-Июл-16
        
        В HTTP-сервере Apache 2.4.23 устранена уязвимость,Аноним, 22:33 , 07-Июл-16
      - В HTTP-сервере Apache 2.4.23 устранена уязвимость,Snaut, 13:31 , 07-Июл-16
        
        В HTTP-сервере Apache 2.4.23 устранена уязвимость,th3m3, 14:53 , 07-Июл-16
        
        В HTTP-сервере Apache 2.4.23 устранена уязвимость,Аноним, 18:46 , 07-Июл-16
        В HTTP-сервере Apache 2.4.23 устранена уязвимость,Аноним, 22:37 , 07-Июл-16
        В HTTP-сервере Apache 2.4.23 устранена уязвимость,angra, 04:51 , 08-Июл-16
  - В HTTP-сервере Apache 2.4.23 устранена уязвимость,Аноним, 02:32 , 07-Июл-16
    - В HTTP-сервере Apache 2.4.23 устранена уязвимость,th3m3, 11:10 , 07-Июл-16
      - В HTTP-сервере Apache 2.4.23 устранена уязвимость,Мишка большая шишка, 15:08 , 07-Июл-16
        
        В HTTP-сервере Apache 2.4.23 устранена уязвимость,th3m3, 17:35 , 07-Июл-16
        
        В HTTP-сервере Apache 2.4.23 устранена уязвимость,Аноним, 19:01 , 07-Июл-16
        
        В HTTP-сервере Apache 2.4.23 устранена уязвимость,Аноним, 21:46 , 07-Июл-16
        В HTTP-сервере Apache 2.4.23 устранена уязвимость,th3m3, 23:16 , 07-Июл-16
        
        В HTTP-сервере Apache 2.4.23 устранена уязвимость,Аноним, 22:38 , 07-Июл-16
        
        В HTTP-сервере Apache 2.4.23 устранена уязвимость,th3m3, 01:38 , 11-Июл-16
        
        В HTTP-сервере Apache 2.4.23 устранена уязвимость,th3m3, 01:39 , 11-Июл-16
      - В HTTP-сервере Apache 2.4.23 устранена уязвимость,_, 17:44 , 07-Июл-16
        
        В HTTP-сервере Apache 2.4.23 устранена уязвимость,th3m3, 23:15 , 07-Июл-16
  - В HTTP-сервере Apache 2.4.23 устранена уязвимость,Аноним, 08:09 , 07-Июл-16
    - В HTTP-сервере Apache 2.4.23 устранена уязвимость,Аноним, 11:02 , 07-Июл-16
В HTTP-сервере Apache 2.4.23 устранена уязвимость,Аноним, 07:15 , 07-Июл-16
- В HTTP-сервере Apache 2.4.23 устранена уязвимость,Нанобот, 09:13 , 07-Июл-16
- В HTTP-сервере Apache 2.4.23 устранена уязвимость,Аноним, 00:30 , 08-Июл-16
В HTTP-сервере Apache 2.4.23 устранена уязвимость,Какаянахренразница, 07:42 , 07-Июл-16
- В HTTP-сервере Apache 2.4.23 устранена уязвимость,A.Stahl, 08:57 , 07-Июл-16
  - В HTTP-сервере Apache 2.4.23 устранена уязвимость,Какаянахренразница, 09:15 , 07-Июл-16
    - В HTTP-сервере Apache 2.4.23 устранена уязвимость,_, 17:47 , 07-Июл-16
- В HTTP-сервере Apache 2.4.23 устранена уязвимость,Аноним, 11:42 , 07-Июл-16
  - В HTTP-сервере Apache 2.4.23 устранена уязвимость,Andrey Mitrofanov, 12:07 , 07-Июл-16
    - В HTTP-сервере Apache 2.4.23 устранена уязвимость,Аноним, 13:21 , 07-Июл-16
      - В HTTP-сервере Apache 2.4.23 устранена уязвимость,Аноним84701, 16:18 , 07-Июл-16
        
        В HTTP-сервере Apache 2.4.23 устранена уязвимость,Аноним, 22:43 , 07-Июл-16
        В HTTP-сервере Apache 2.4.23 устранена уязвимость,Аноним, 23:51 , 07-Июл-16
        
        В HTTP-сервере Apache 2.4.23 устранена уязвимость,Аноним, 00:09 , 08-Июл-16

Сообщения в этом обсуждении

"В HTTP-сервере Apache 2.4.23 устранена уязвимость"
Отправлено Аноним , 07-Июл-16 00:36

Чот не понял я: где "ниюзаюапачващедавно, NGIИX рулит" :)

"В HTTP-сервере Apache 2.4.23 устранена уязвимость"
Отправлено th3m3 , 07-Июл-16 01:29

Ок. Кто-то всё ещё юзает apache?

"В HTTP-сервере Apache 2.4.23 устранена уязвимость"
Отправлено Аноним999 , 07-Июл-16 02:22

С апреля 1996 и до настоящего времени является самым популярным HTTP-сервером в Интернете. Статистика Netcraft показывает следующие данные об использовании Apache:
в августе 2007 года он работал на 51 % всех веб-серверов
в мае 2009 года — на 46 %
в январе 2011 года — на 59 %, т.е. более чем на 160 млн сайтов
в январе 2016 года — на 33.56 %, т.е. более чем на 304 млн сайтов.
(Цитата из Википедии)

"В HTTP-сервере Apache 2.4.23 устранена уязвимость"
Отправлено th3m3 , 07-Июл-16 11:10

Отчётливо видно, что все переходят на nginx.

"В HTTP-сервере Apache 2.4.23 устранена уязвимость"
Отправлено angra , 07-Июл-16 11:52

Пока отчетливо видно, что предметом ты владеешь на уровне школоло, только вчера узнавшего из какой-то статьи, что nginx "круче" apache, а сегодня несущего этот "свет знаний" всем вокруг.

"В HTTP-сервере Apache 2.4.23 устранена уязвимость"
Отправлено th3m3 , 07-Июл-16 14:51

Проиграл с тебя.

"В HTTP-сервере Apache 2.4.23 устранена уязвимость"
Отправлено Аноним , 07-Июл-16 22:33

Ах у тебя ещё и с русским плохо. Какой разносторонний ребёнок..

"В HTTP-сервере Apache 2.4.23 устранена уязвимость"
Отправлено Snaut , 07-Июл-16 13:31

> Отчётливо видно, что все переходят на nginx.
обычно nginx ставят впереди apache. внутри организации более-менее с нагрузкой по сайтам - nginx стоит как просто прокси

"В HTTP-сервере Apache 2.4.23 устранена уязвимость"
Отправлено th3m3 , 07-Июл-16 14:53

Обычно ставят только nginx. Извращенцы ставят ещё и apache. Есть частные случаи, когда apache необходим, по каким либо модулям специфичным. Но в большинстве случаев, он нафиг ненужен.

"В HTTP-сервере Apache 2.4.23 устранена уязвимость"
Отправлено Аноним , 07-Июл-16 18:46

Есть частный случай, где возможности установить nginx нет в принципе. Так что апач тут волей-неволей...

"В HTTP-сервере Apache 2.4.23 устранена уязвимость"
Отправлено Аноним , 07-Июл-16 22:37

Кинь ссылочку на обычную статистику.

"В HTTP-сервере Apache 2.4.23 устранена уязвимость"
Отправлено angra , 08-Июл-16 04:51

Да, mod_php это такой очень специфичный случай, почти нигде не используется :)

"В HTTP-сервере Apache 2.4.23 устранена уязвимость"
Отправлено Аноним , 07-Июл-16 02:32

IspManager, cPanel, DirectAdmin, Plesk использует этот ваш Legacy Apache и не желает его менять.

"В HTTP-сервере Apache 2.4.23 устранена уязвимость"
Отправлено th3m3 , 07-Июл-16 11:10

Это всё прерогатива всяких хостингов, которые уже давно не нужны. Сервера копейки стоят.

"В HTTP-сервере Apache 2.4.23 устранена уязвимость"
Отправлено Мишка большая шишка , 07-Июл-16 15:08

Если хостинги не нужны, то ты дурашка

"В HTTP-сервере Apache 2.4.23 устранена уязвимость"
Отправлено th3m3 , 07-Июл-16 17:35

А зачем нужны хостинги, когда можно VPS недорого взять? А некоторых случаях, даже дешевле, чем хостинг выйдет.

"В HTTP-сервере Apache 2.4.23 устранена уязвимость"
Отправлено Аноним , 07-Июл-16 19:01

> А зачем нужны хостинги, когда можно VPS недорого взять? А некоторых случаях,
> даже дешевле, чем хостинг выйдет.
Получите jail без возможности тюнить ядро и тд и тп. Плавали, знаем.

"В HTTP-сервере Apache 2.4.23 устранена уязвимость"
Отправлено Аноним , 07-Июл-16 21:46

А на хостинге значит ты можешь ядро тюнить? Ну-ну

"В HTTP-сервере Apache 2.4.23 устранена уязвимость"
Отправлено th3m3 , 07-Июл-16 23:16

Не всегда. Очень многие разрешают загружать свой образ. Да и тем более, нефига себе. На хостинге ничего почти нельзя, а тут практически делай что хочешь.

"В HTTP-сервере Apache 2.4.23 устранена уязвимость"
Отправлено Аноним , 07-Июл-16 22:38

Хо́стинг (англ. hosting) — услуга по предоставлению ресурсов для размещения информации на сервере, постоянно находящемся в сети (обычно Интернет).
Для самых маленьких - VPS это тоже хостинг.

"В HTTP-сервере Apache 2.4.23 устранена уязвимость"
Отправлено th3m3 , 11-Июл-16 01:38

Не придирайся к словам. Всем и так понятно, что такое хостинг и что такое виртуальный сервер.

"В HTTP-сервере Apache 2.4.23 устранена уязвимость"
Отправлено th3m3 , 11-Июл-16 01:39

И это не одно и тоже.

"В HTTP-сервере Apache 2.4.23 устранена уязвимость"
Отправлено _ , 07-Июл-16 17:44

>Это всё прерогатива всяких хостингов, которые уже давно не нужны.
Оно то так конечно, да только вот из 360 млн. сайтов - 320 - это именно они :-/
>Сервера копейки стоят.
А время админов дорого. А если ты самО ... то это full time job, но не оплачиваемый.

"В HTTP-сервере Apache 2.4.23 устранена уязвимость"
Отправлено th3m3 , 07-Июл-16 23:15

Быть DevOPS сейчас модно ;)

"В HTTP-сервере Apache 2.4.23 устранена уязвимость"
Отправлено Аноним , 07-Июл-16 08:09

А nginx и не юзают. На языке его конфигураций программы пишут. Я вобще не понимаю, почему он до сих пор не компилятор, там же ни одной переменной, не перекрытой из конфигурации уже не осталось.

"В HTTP-сервере Apache 2.4.23 устранена уязвимость"
Отправлено Аноним , 07-Июл-16 11:02

Изначально компилятор, т.к. компилировал настройки.

"В HTTP-сервере Apache 2.4.23 устранена уязвимость"
Отправлено Аноним , 07-Июл-16 07:15

А в чём проблема его использовать дальше?
Работает себе и не парит мозг.

"В HTTP-сервере Apache 2.4.23 устранена уязвимость"
Отправлено Нанобот , 07-Июл-16 09:13

>Работает себе и не парит мозг.
для некоторых это как раз и является проблемой

"В HTTP-сервере Apache 2.4.23 устранена уязвимость"
Отправлено Аноним , 08-Июл-16 00:30

> Работает себе и не парит мозг
Не видел, как бухгалтерши каждый месяц мебель в кабинете переставляют? Вот и админы такие бывают.

"В HTTP-сервере Apache 2.4.23 устранена уязвимость"
Отправлено Какаянахренразница , 07-Июл-16 07:42

> Выпуски 2.4.21 и 2.4.22 были пропущены
В чём тайный смысл сего действа?

"В HTTP-сервере Apache 2.4.23 устранена уязвимость"
Отправлено A.Stahl , 07-Июл-16 08:57

>В чём тайный смысл сего действа?
Какаянахренразница?

"В HTTP-сервере Apache 2.4.23 устранена уязвимость"
Отправлено Какаянахренразница , 07-Июл-16 09:15

Вопрос снят.

"В HTTP-сервере Apache 2.4.23 устранена уязвимость"
Отправлено _ , 07-Июл-16 17:47

Чорд! Это даже красиво! :-D

"В HTTP-сервере Apache 2.4.23 устранена уязвимость"
Отправлено Аноним , 07-Июл-16 11:42

В оригинале новости написано "Versions 2.4.22 and 2.4.21 were not released". В списке изменений http://www.apache.org/dist/httpd/CHANGES_2.4 эти версии есть.
Не нашёл, как посмотреть в репозиторий, но есть теория, что хотели выпустить .21, в ней почти сразу обнаружили уязвимость, сделали (в репозитории) .22, там тоже сразу обнаружили уязвимости и сделали .23. Выпускать в форме тарболов первые две смысла не нашли. Но это лишь догадки

"В HTTP-сервере Apache 2.4.23 устранена уязвимость"
Отправлено Andrey Mitrofanov , 07-Июл-16 12:07

> Не нашёл, как посмотреть в репозиторий, но есть теория
Большой Учёный! Уважуха. >,<

"В HTTP-сервере Apache 2.4.23 устранена уязвимость"
Отправлено Аноним , 07-Июл-16 13:21

Может, поделишься ссылкой на репозиторий, шутник? :)

"В HTTP-сервере Apache 2.4.23 устранена уязвимость"
Отправлено Аноним84701 , 07-Июл-16 16:18

Гм, ну, вроде как смотрим в в меню:
> "Get Involved
>
> Mailing Lists
> Bug Reports
> Developer Info <- нам сюда"
http://httpd.apache.org/dev/
> Source Repository Information
> Apache Development Notes about using SVN and maintaining the Apache site.
> A web-based view of the SVN history of the httpd development effort
http://svn.apache.org/viewvc/httpd/
Та-да!

"В HTTP-сервере Apache 2.4.23 устранена уязвимость"
Отправлено Аноним , 07-Июл-16 22:43

Миф бастерс на опеннет.ру.

"В HTTP-сервере Apache 2.4.23 устранена уязвимость"
Отправлено Аноним , 07-Июл-16 23:51

> Та-да!
Блин, старею :( И теория не оправдалась, релизы готовились в спокойной обстановке... Не знаю, зачем сделали .23 сразу после .20...

"В HTTP-сервере Apache 2.4.23 устранена уязвимость"
Отправлено Аноним , 08-Июл-16 00:09

Надеюсь, что мне пора спать, потому что, судя по спискам рассылки, они ГОЛОСОВАНИЕМ решают, релизить ту или иную версию или нет! Проголосовали против релизов .21 и .22.