URL: https://www.opennet.dev/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 115760
[ Назад ]
Исходное сообщение
"Обновление nginx 1.14.1 и 1.15.6 с устранением трёх уязвимостей"
Отправлено opennews , 06-Ноя-18 20:19 
Опубликованы (http://mailman.nginx.org/pipermail/nginx-announce/2018/00021...) новые выпуски основной и стабильной веток высокопроизводительного HTTP-сервера nginx (http://nginx.org/en/download.html) - 1.14.1 (http://mailman.nginx.org/pipermail/nginx-announce/2018/00021...) и 1.15.6 (http://mailman.nginx.org/pipermail/nginx-announce/2018/00021...), в которых устранены три уязвимости (http://nginx.org/en/security_advisories.html):

-  CVE-2018-16845 (http://mailman.nginx.org/pipermail/nginx-announce/2018/00022...) - ошибка в модуле ngx_http_mp4_module (не собирается по умолчанию) может привести к краху рабочего процесса или отправке в составе ответа содержимого областей памяти рабочего процесса при обработке специально оформленных файлов mp4;

-  CVE-2018-16843 (http://mailman.nginx.org/pipermail/nginx-announce/2018/00022...) - DoS-уявзимость в реализации протокола HTTP/2, которая может привести к исчерпанию доступной процессу памяти. Проблема проявляется только при использовании модуля ngx_http_v2_module и указании опции "http2" в блоке "listen";
-  CVE-2018-16844 (http://mailman.nginx.org/pipermail/nginx-announce/2018/00022...) -  DoS-уявзимость в реализации протокола HTTP/2, которая может привести к утилизации доступных ресурсов CPU.


В выпуске 1.15.6 дополнительно добавлены новые директивы "proxy_socket_keepalive (https://nginx.org/en/docs/http/ngx_http_proxy_module.html#pr...)", "fastcgi_socket_keepalive",
       "grpc_socket_keepalive", "memcached_socket_keepalive",
       "scgi_socket_keepalive", и "uwsgi_socket_keepalive" для настройки keepalive для исходящих соединений (включения или выключения опции  SO_KEEPALIVE для сокетов). Исправлена ошибка, из-за которой протокол TLS 1.3  оставался постоянно включен при сборке с
OpenSSL 1.1.0 и использовании OpenSSL 1.1.1. В бэкендах  gRPC сокрашено потребление памяти.


URL: http://mailman.nginx.org/pipermail/nginx-announce/2018/00021...
Новость: https://www.opennet.dev/opennews/art.shtml?num=49567

Содержание
Сообщения в этом обсуждении
"Обновление nginx 1.14.1 и 1.15.6 с устранением трёх уязвимос..."
Отправлено Аноним , 06-Ноя-18 20:19 
Так вот он чем лучше апача...
"Обновление nginx 1.14.1 и 1.15.6 с устранением трёх уязвимос..."
Отправлено Аноним , 06-Ноя-18 20:29 
Только лишь в Apache 2.4 было в два раза больше уязвимостей, чем в nginx за всю историю.
https://httpd.apache.org/security/vulnerabilities_24.html
"Обновление nginx 1.14.1 и 1.15.6 с устранением трёх уязвимос..."
Отправлено Аноним , 06-Ноя-18 21:18 
> Зочем? У него же нормальный async polling

И как это поможет критичным к вычислительных ресурсам задачам, таким как TLS и сжатие на многоядерной системе (чуть менее чем все)?

"Обновление nginx 1.14.1 и 1.15.6 с устранением трёх уязвимос..."
Отправлено Fyjybv755 , 06-Ноя-18 21:22 
>  Только лишь в Apache 2.4 было в два раза больше уязвимостей, чем в nginx за всю историю.

А если считать только moderate (DoS и pwn), проявляющиеся в дефолтной конфигурации?

"Обновление nginx 1.14.1 и 1.15.6 с устранением трёх уязвимос..."
Отправлено _KUL , 07-Ноя-18 00:12 
История apache гораздо больше истории nginx
"Обновление nginx 1.14.1 и 1.15.6 с устранением трёх уязвимос..."
Отправлено Аноним , 07-Ноя-18 06:57 
... Поэтому, за всю историю apache уязвимостей было просто дохрена!

(Где логика в твоих словах? Если ты что-то хотел сказать - ты не договорил.)

"Обновление nginx 1.14.1 и 1.15.6 с устранением трёх уязвимос..."
Отправлено funny.falcon , 08-Ноя-18 08:22 
Логика в том, что нужно мерять не уязвимости за все время жизни, а в среднем за год.
"Обновление nginx 1.14.1 и 1.15.6 с устранением трёх уязвимос..."
Отправлено Аноним , 08-Ноя-18 22:09 
nginx существует гораздо дольше, чем apache 2.4, а уязвимостей у него было вдвое меньше. Сами догадаетесь, у кого среднее в год будет меньше?

Только лишь в этом году у Apache было 10 CVE, а у nginx всего 3.

"Обновление nginx 1.14.1 и 1.15.6 с устранением трёх уязвимос..."
Отправлено Ivan_83 , 07-Ноя-18 01:30 
http2 - нинужен, вот и доказательства.
"Обновление nginx 1.14.1 и 1.15.6 с устранением трёх уязвимос..."
Отправлено пох , 08-Ноя-18 21:53 
эта оверинжиниренная бесполезная хрень ненужно даже если бы в ней не водилась дыра на дыре.

ну кроме, конечно же, гуглепейсбукотентаклей, продолжающих уничтожать любой интернет, кроме принадлежащего им.

"Обновление nginx 1.14.1 и 1.15.6 с устранением трёх уязвимос..."
Отправлено Аноним , 07-Ноя-18 03:25 
Они еще живут в мире где есть TCP/IP?

QUIC наше все!

"Обновление nginx 1.14.1 и 1.15.6 с устранением трёх уязвимос..."
Отправлено Аноним , 07-Ноя-18 06:59 
для Ъ объясните, что такое QUIC, пожалуйста.

SCTP не смогло забороть TCP, а этот квик - да?

"Обновление nginx 1.14.1 и 1.15.6 с устранением трёх уязвимос..."
Отправлено Аноним , 07-Ноя-18 09:00 
> что такое QUIC, пожалуйста

Идите посмотрите будущий стандарт HTTP/3 и где вы там видите TCP?

"Обновление nginx 1.14.1 и 1.15.6 с устранением трёх уязвимос..."
Отправлено пох , 07-Ноя-18 07:45 
гугль, ты залогиниться забыл!