forum.opennet.ru

"Уязвимость в http-сервере Apache 2.4.49, позволяющая получить файлы вне корня сайта"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Заметили полезную информацию ? Пожалуйста добавьте в FAQ на WIKI.

. "Уязвимость в http-сервере Apache 2.4.49, позволяющая получит..."	+3 +/–
Сообщение от Онаним (?), 06-Окт-21, 09:33
Смотря что ты понимаешь под производительностью. При отдаче статики оверхед апача повыше, чем у всяких специализированных дробилок. Но опять же - основную работу на статике делает sendfile, и поэтому если у тебя не CDN-сервер, которых тоннам хомячков отдаёт одну и ту же сотню мартышкиных js с лефтпадами размером менее килобайта (при этом всю сотню можно было таки в один упаковать, но мартышки же) - апача вполне себе хватит для почти любых масштабов бедствия, особенно с mpm_event, который даже мартышкины лефтпады раздавать умеет очень хорошо. А если у тебя динамика или хотя бы управляемая динамически среда - то тут вообще вариантов нет. Конфигурироваться прямо из каталогов (.htaccess) кроме апача в таком объёме вообще никто нормально не умеет. Динамика подключаемыми модулями? Что это? Все статикодробилки в силу плохо приспособленного к задержкам внутри задач кооперативного эвент лупа в лучшем случае могут в FCGI, который сам по себе уже оверхед. Те же пилильщики нгинха вполне себе просекли данный неприятный момент, и теперь есть нгинх юнит, который пытается ужа с ежом. У пыха для тех же целей в угоду костыльщикам на статикодробилках есть php-fpm. К тому же, опять же, апач с mpm_event делает дробление и статики и FCGI не сильно хуже специализированных дробилок, имея при этом нефиговую управляемость. За исключением corner cases (см. про CDN выше). Единственный "минус" апача - его огромный конфиг. Который конечно при грамотном подходе сжимается до сопоставимого с этими вашими нгинхами, но для девляпсов этот олдскульный конфиг сложноват конечно будет, да.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Уязвимость в http-сервере Apache 2.4.49, позволяющая получить файлы вне корня сайта, opennews, 05-Окт-21, 23:32 [смотреть все]

Надо было юзатб nginx, Рейка Сметанова, 05-Окт-21, 23:32 (1) //
- Надо не использовать http для того, для чего он изначально не предпологался Разв, Аноним, 05-Окт-21, 23:43 (5) //
  - Ты кроме слова файл что-нибудь прочитал в новости , Аноним, 06-Окт-21, 00:01 (9)
  - у многих mod_rewrite и стало быть обработка урла должна быть передана скрипту, Robin Bobin, 06-Окт-21, 02:31 (25)
  - Лучше мартышки, чем крокодилы, Самый Лучший Гусь, 06-Окт-21, 15:35 (91) //
    - Ага, фракталу с iPony расскажи А то они бедные не знают куда приткнуться , Аноним, 06-Окт-21, 17:56 (99)
  - Ты смотри сколько обиженных мартишек наминусловало , Аноним, 06-Окт-21, 18:04 (103)
- thttpd, Аноним, 06-Окт-21, 00:07 (10)
- Его ещё на Rust не переписали , Аноним, 06-Окт-21, 00:46 (19) //
  - Тогда будут не только знаки процента, Аноним, 06-Окт-21, 09:58 (48)
- Чудеса и волшебства веба с кодированием знаками процента ничего уже не спасёт , Аноньимъ, 06-Окт-21, 05:03 (31)
Сами внесли, небось Сколько за исправление фонд из недавной новости денег отвал, Урри, 05-Окт-21, 23:36 (3)
http головного мозга потому что Файлы по http гонять, бред бреднятский, Аноним, 05-Окт-21, 23:42 (4) //
- Иж чаво удумали, обмажутся своими файлами и давай по сети гонять Только буквами , Dr Nyanpasu, 06-Окт-21, 00:43 (18)
- А как гонять Чтоб на любом устройстве в браузере в один клик, Enamel, 06-Окт-21, 00:49 (21) //
  - По FTP , Аноньимъ, 06-Окт-21, 05:04 (32) //
    - Дык его из FF_а фсио, на мороз , ryoken, 06-Окт-21, 09:58 (49)
      - Ды FF и хром фсио, в помойку уже давно , Аноним, 06-Окт-21, 18:05 (104)
    - Чтобы получить вместо файла что угодно подменённое Не, спасибо FTP сдох, туда , Аноним, 06-Окт-21, 11:54 (67)
      - Барышня, Вы хоть педали не путаете Что с уровнями протоколов в голове каша, наиб, Michael Shigorin, 07-Окт-21, 22:59 (128)
      - FTP может работать поверх защищенного соединения, кроме того, никто не отменял ц, Аноньимъ, 11-Окт-21, 01:20 (133)
  - Серьёзно Ты серьёзно не представляешь как можно передать файл кроме как http За, Аноним, 06-Окт-21, 18:03 (101) //
    - Речь о том, как это сделать с минимальными усилиями на любом устройстве с любой , Enamel, 15-Окт-21, 05:31 (134)
- А модный dav не так делает , Аноним, 06-Окт-21, 12:44 (78) //
  - А есть ещё отсталые кому dav интересен Это же прошлый век, Аноним, 06-Окт-21, 18:06 (105)
- Для некоторых личностей вход на опеннет должен быть со справкой из наркологическ, Pahanivo, 06-Окт-21, 13:35 (81) //
  - Именно, покажи свою, Аноним, 06-Окт-21, 18:03 (102)
приехали называется, Sw00p aka Jerom, 05-Окт-21, 23:50 (7)
дебиан опять молодец , Аноним, 05-Окт-21, 23:56 (8)
Папач только под сервером Сысоева Сысоев кросаффчег Настоящий снг программист , Аноним, 06-Окт-21, 00:11 (11)
Однако Мне было бы очень любопытно узнать кто это накодил и кто это рецензирова, Аноним, 06-Окт-21, 00:14 (12) //
- Откуда там смузихлебство, у разработчиков гапача наверное старческий маразм прос, x3who, 06-Окт-21, 00:36 (16) //
  - Откуда Набижали ж со смуззями Стариков развратили , Аноним, 06-Окт-21, 11:49 (65) //
    - Здрасьте, это была история появления apache2 как такового вкратце, что ли , Michael Shigorin, 07-Окт-21, 23:00 (129)
За что я любил ЦентОС - никаких ролинг-релизов Работало себе годами Убили , gogo, 06-Окт-21, 00:31 (13) //
- Полюби девуана Пока ядро не проржавело , Аноним, 06-Окт-21, 00:36 (15) //
  - Некрасивое, Аноним, 06-Окт-21, 06:50 (36)
  - проржавело это про rust, Аноним, 06-Окт-21, 18:06 (106)
- На всякий случай скажу, что в CentOS 8 и Stream одна и та же версия Апача 8212, анонъчик, 06-Окт-21, 14:32 (85)
Всегда стараюсь вынести рут и пороха в кастомные места О вреде унификации http, x3who, 06-Окт-21, 00:34 (14) //
- и как это помешает выполнить несколько запросов с разным количеством 2e , aa, 06-Окт-21, 06:56 (37) //
  - один С большим ls -la etc passwd-rw-r--r-- 1 r, пох., 06-Окт-21, 09:05 (43)
  - они обычно фигачат по заранее известным местам, x3who, 06-Окт-21, 11:07 (60) //
    - и мы можем выйти из неизвестного корня веб-сервера задав кучу в начале пути, aa, 06-Окт-21, 15:14 (89)
Да они гонят что ли Ок В другой раз я дважды подумаю, прежде чем выбрать эт, Корец, 06-Окт-21, 00:38 (17) //
- А что, им кто-то пользуется У чуваков на их сайте лет десять висела статья с ра, x3who, 06-Окт-21, 00:47 (20) //
  - А, вот нашел Apache is a general webserver, which is designed to be correct fi, x3who, 06-Окт-21, 01:10 (22) //
    - ну во-первых тут про конфигурябельность ни слова и вроде как логично, что люба, aa, 06-Окт-21, 07:00 (38)
      - 1 По ссылке есть 2 Так и получаются корректно работающие медленные приложения, x3who, 06-Окт-21, 11:11 (61)
        
        Какой ужас Срочно накодьте нам быстрых некорректно работающих , Аноним, 07-Окт-21, 00:32 (115)
  - рюйске опять не умеет читать Там написано - производительность _достаточная_ - с, пох., 06-Окт-21, 09:09 (44) //
    - Ты опять озверинчик с утренца принял штоли , Аноним, 06-Окт-21, 12:35 (72)
    - Они вон в фуфлоксе плагины переводчиков кушают и радуются А ты говоришь читать,, Аноним, 06-Окт-21, 14:11 (83)
      - А, блжад, вероятно ты прав Там явный канал в астральную преисподнюю в этих плаг, пох., 07-Окт-21, 12:29 (126)
  - Смотря что ты понимаешь под производительностью При отдаче статики оверхед апача , Онаним, 06-Окт-21, 09:33 (47) //
    - Да забудьте вы уже про sendfile, при практически стопроцентном https он абсолютн, Аноним, 06-Окт-21, 11:05 (59)
      - В случае HTTPS, во-первых, всю грязную работу всё равно делает openssl или что т, Онаним, 06-Окт-21, 21:23 (111)
        
        В системах, где https терминируется на отдельном фронте, апачом статику никто и , Аноним, 09-Окт-21, 14:20 (132)
Docker нас спасет , Terraforming, 06-Окт-21, 01:49 (23) //
- https openlitespeed org kb using-cgroups-with-openlitespeed , Аноним, 06-Окт-21, 02:36 (26)
Переходите на OpenLiteSpeed, Аноним, 06-Окт-21, 02:12 (24)
Вполне ожидаемо для любого проекта apache foundation , Аноним, 06-Окт-21, 03:08 (27) //
- В nginx, linux, postgresql, redis, postfix, exim типа ошибок нет , Аноним, 06-Окт-21, 11:25 (63) //
  - Типа есть, но там они - форс-мажор и из ряда вон А тут - майнстрим , Аноним, 06-Окт-21, 11:55 (68) //
    - ИЗ серии Это другое Слив защитан , Аноним, 06-Окт-21, 12:37 (74)
  - В Apache проекты никто не развивает А в других хотя бы пытаются что-то делать , Аноним, 06-Окт-21, 15:57 (95) //
    - Ещё один Посмотри Apache Cassandra, Apache Ignite, Apache Kafka Первая и втора, Аноним, 06-Окт-21, 19:46 (108)
      - Это могильник биоотходов Форки Kafka Cassandra лучше так как на нативном коде , Аноним, 06-Окт-21, 20:06 (109)
        
        Расскажи это Google, Facebook и им подобным Пусть их смех от твоих слов разорвё, Аноним, 07-Окт-21, 10:01 (121)
Я балдею канешно Всё работало, не, зачесалось код покрасивше написать типа Ну , Ананоним, 06-Окт-21, 03:50 (29)
Поленились написать как во всех пердыдущих CODE Deny access to the entirety , Аноним, 06-Окт-21, 06:39 (34) //
- Все просто htaccess файлы не нужны это максимально ненужная фича , Аноним, 06-Окт-21, 08:10 (41)
Апдейты- зло , ыы, 06-Окт-21, 06:41 (35)
Эксплоитера уже посадили, или работа в трёхбуквенншй организации даёт 100500 к , Аноним, 06-Окт-21, 07:35 (39) //
- Вы такие загадочные, в плаще до земли и с надвинутой на глаза шляпой с полями , Аноним, 06-Окт-21, 10:26 (54) //
  - КГБ, Аноним, 06-Окт-21, 10:28 (56) //
    - FBI, Аноним, 06-Окт-21, 10:39 (58)
      - NSA, Аноним, 06-Окт-21, 12:39 (76)
        
        CIA, Аноним, 06-Окт-21, 15:58 (96)
        
        ЖЭК, три, 07-Окт-21, 05:57 (116)
        
        СБУ, InuYasha, 07-Окт-21, 10:09 (123)
  - ASF же , Michael Shigorin, 07-Окт-21, 23:03 (130)
Список годных проектов от Apache , Аноним, 06-Окт-21, 08:08 (40) //
- Cassandra, Ignite, Kafka , Аноним, 06-Окт-21, 11:23 (62) //
  - ScyllaDB, Redpanda, Аноним, 06-Окт-21, 21:11 (110)
Лучший вебсервер Нашли и пофиксили , lockywolf, 06-Окт-21, 08:50 (42)
Решил проверить свои сайты Apache 2 4 49 Использую скрипты https github com Ze, markus, 06-Окт-21, 09:10 (45)
Ну вообще да, запрет для корня и разрешения для отдельных каталогов - это нормал, Онаним, 06-Окт-21, 09:21 (46) //
- А зачем что-то выполнять когда можно просто скачать базу данных если она есть , Аноним, 06-Окт-21, 10:11 (53)
А дебиан 9 уже не поддерживается А то лень обновлять на 11, работает уже 4 года, Аноним, 06-Окт-21, 10:01 (50) //
- Зачем обновлять это рассадник дыр Там уже своя экосистема Доступ на твой дедик, Аноним, 06-Окт-21, 10:09 (52)
На хостингах он все равно работает в отдельном пользователе на каждый аккаунт И, Аноним, 06-Окт-21, 10:26 (55) //
- PaaS это каменный век Сейчас каждого хотя бы слегка уважающего себя веб-разрабо, Аноним, 06-Окт-21, 10:38 (57)
А вот в няшном httpd и relayd от тео такого нет , Аноним, 06-Окт-21, 11:50 (66) //
- Многих фич Апача у них тоже нет , Аноним, 06-Окт-21, 12:15 (69) //
  - Зиродеев в смысле Да, ощутимо меньше , Аноним, 06-Окт-21, 12:33 (71) //
    - Кому и зиродей фича , Аноним, 06-Окт-21, 19:41 (107)
Внатуре 0-дау, это не лечится, наука бессильна , Аноним, 06-Окт-21, 12:26 (70)
Directory AllowOverride none Require all denied Directory Разве это в, Ilya Indigo, 06-Окт-21, 12:39 (75) //
- Прописано , BorichL, 06-Окт-21, 15:12 (88) //
  - Тогда мне не понятно, каким образом эта уязвимость может эксплуатироваться, прич, Ilya Indigo, 06-Окт-21, 15:18 (90) //
    - Ну ты же понимаешь, это слишком сложно, надо ещё какие-то права расставлять, а н, Онаним, 06-Окт-21, 21:27 (112)
      - Ну так бери конфиг хоста у которого doc_root, например в srv www htdocs host и , Ilya Indigo, 06-Окт-21, 21:39 (114)
        
        плюсану Мне вообще понравилась идея выносить устройства с данными на srv и туд, InuYasha, 07-Окт-21, 10:11 (124)
Как интересноСтарые версии апача не подвержены атаке, а новые подверженыЭто ж пр, Аноним12345, 06-Окт-21, 12:40 (77)
FreeBSD 12 2, в репах apache24-2 4 49 Обновления пока нет , vantoo, 06-Окт-21, 13:16 (79) //
- Закрой его истинно православным хдвижком Обретешь покой и умиротворение , Аноним, 06-Окт-21, 14:09 (82) //
  - Закоммитить патч, чтоли , Аноним, 06-Окт-21, 14:53 (87) //
    - Погодь, пусть немножко пострадают А в целом мы работаем над этим Мне вот инте, Аноним, 06-Окт-21, 15:50 (92)
      - И да, в портах уже , Аноним, 06-Окт-21, 15:55 (94)
- Так откатись на 2 4 48 Или в бзде не откатиться, всегда только самое свеженас , Онаним, 06-Окт-21, 21:28 (113)
Запахи в оценке чистоты идей кода и систем , Аноним, 06-Окт-21, 14:52 (86) //
- Но ведь в расте такое невозможно Спойлер 171 Возможно 187 , Аноним, 06-Окт-21, 17:23 (98)
Тот неловкий момент, когда туn0рылая система юниксовых каталогов была перенесена, Gogi, 06-Окт-21, 15:53 (93) //
- Ты так говоришь как будто виндовая говносистема чем-то лучше , Аноним, 06-Окт-21, 17:22 (97) //
  - разумеется лучше наследование, блокировка наследования, блокировка блокировки , СеменСеменыч777, 07-Окт-21, 11:47 (125)
А тем временем уже и RCE подоспело https twitter com hackerfantastic status , Хру, 06-Окт-21, 18:01 (100)
вот они красавцы137 184 69 137 - - 06 Oct 2021 10 23 21 0700 GET cgi-bin , СеменСеменыч777, 07-Окт-21, 07:40 (117) //
- то-есть выход из ситуации, можно просто заблокировать содержимое url cgi-bin , markus, 07-Окт-21, 08:15 (118) //
  - Можно спецсимволами и путями возврата обойти ваши совковые WAF , Аноним, 07-Окт-21, 09:58 (120)
  - Ага и вставать с колен такими методами борьбы Хотя корейские хакеры вас нагнут , Аноним, 07-Окт-21, 10:03 (122)
- Ну, киддям скрипты на гвидобейсике заботливо разложили, играются , Онаним, 07-Окт-21, 08:16 (119)
Лалка В портах ужо 2 4 51 положили Папач точно еще на раст не переписали , Аноним, 07-Окт-21, 20:49 (127) //
- в 50 не дочинили critical Path Traversal and Remote Code Execution in Apache, Аноним, 08-Окт-21, 00:02 (131)
Shell, Аноним, 02-Мрт-22, 22:29 (135)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру