URL: https://www.opennet.dev/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 114470
[ Назад ]

Исходное сообщение
"Обновление HTTP-сервера H2O 2.2.5 с устранением уязвимости"
Отправлено opennews , 02-Июн-18 10:01

Опубликована (http://blog.kazuhooku.com/2018/06/h2o-version-225-released-w...) новая версия HTTP-сервера H2O 2.2.5 (https://h2o.examp1e.net). H2O относится к новому поколению высокопроизводительных HTTP-серверов и обеспечивает (https://www.opennet.dev/opennews/art.shtml?num=41345) полную поддержку HTTP/2, TLS, приоритизации трафика и технологии Server Push. Код проекта распространяется (https://github.com/h2o/h2o/) под лицензией MIT.

Новый выпуск интересен реализацией поддержки TLS 1.3 и устранением опасной уязвимости (https://github.com/h2o/h2o/issues/1775) (CVE-2018-0608). Уязвимость позволяет удалённо инициировать переполнение буфера в коде записи строки в лог. Всем пользователям H2O рекомендуется как можно скорее обновить свои системы или отключить ведение access-лога.

URL: http://blog.kazuhooku.com/2018/06/h2o-version-225-released-w...
Новость: https://www.opennet.dev/opennews/art.shtml?num=48699

Содержание

Обновление HTTP-сервера H2O 2.2.5 с устранением уязвимости,Аноним, 10:03 , 02-Июн-18
Обновление HTTP-сервера H2O 2.2.5 с устранением уязвимости,xm, 17:21 , 05-Июн-18

Сообщения в этом обсуждении

"Обновление HTTP-сервера H2O 2.2.5 с устранением уязвимости"
Отправлено Аноним , 02-Июн-18 10:03

и да, немедленно отключите access log, это немодно и не по-хипстерски. Яндекс, гугль и миллиард индусских стартапов мечтают последить за вашими пользователями, заодно поделившись с вами крохами статистики в интуитивно-приятном гуе.

"Обновление HTTP-сервера H2O 2.2.5 с устранением уязвимости"
Отправлено xm , 05-Июн-18 17:21

Закомитил патч в порты FreeBSD.
Если кому-то не хочется ждать апрува то можете его напрямую наложить и обновляться
https://bugs.freebsd.org/bugzilla/show_bug.cgi?id=228762