URL: https://www.opennet.dev/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 125472
[ Назад ]
Исходное сообщение
"Ещё одна уязвимость в Apache httpd, позволяющая обратиться за пределы корневого каталога"
Отправлено opennews , 08-Окт-21 08:52 
Найден новый вектор атаки на http-сервер Apache, который остался неисправленным в обновлении 2.4.50 и позволяет  получить доступ к файлам из областей вне корневого каталога сайта. Кроме того, исследователями найден способ, позволяющий при наличии определённых нестандартных настроек не только прочитать системные файлы, но и удалённо выполнить свой код на сервере. Проблема проявляется только в выпусках 2.4.49 и 2.4.50,  более ранние версии уязвимости не подвержены. Для устранения нового варианта уязвимости оперативно сформирован выпуск Apache httpd 2.4.51...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=55939

Содержание
Сообщения в этом обсуждении
"Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."
Отправлено Qwerty , 08-Окт-21 08:52 
недоработали ребята, ну ничего, исправили
"Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."
Отправлено Аноним , 08-Окт-21 08:54 
Экстремальное программирование - отладка на пользователях. Типа актуальный метод разработки.
"Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."
Отправлено Qwerty , 08-Окт-21 09:04 
а я думал что ЭП это когда ты одной рукой кодишь на ноуте, а другой противостоишь ватаге ниндзя аки старина Брюс Ли

или там прыгаешь с парашютом и кодишь

или... не так что ли?

"Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."
Отправлено Аноним , 08-Окт-21 10:31 
Экстремальное программирование - это про test-driven development. Отладка на пользователях - это экстремистское программирование ;)
"Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."
Отправлено kissmyass , 08-Окт-21 17:59 
и то, и другое разновидность Lox Driven Development
"Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."
Отправлено Аноним , 08-Окт-21 23:32 
И должно быть запрещено в России :)
"Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."
Отправлено Anon2 , 09-Окт-21 09:26 
И в следствии Apache httpd будет защищен от всех уязвимостей законодательством РФ. Го в ЭП
"Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."
Отправлено Sw00p aka Jerom , 08-Окт-21 10:54 
CI
"Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."
Отправлено KT315 , 09-Окт-21 09:13 
Сейчас походу все так разрабатывается и в "продакшон". Что телефоны, что машины... Главное покрыть тест кейсами и найти баги, которые могут посадить на кукан. Остальное рутина и удовольствие от процесса :)
"Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."
Отправлено Аноним , 08-Окт-21 08:55 
Не страшно. В прдакшн не ставят

> непрерывно обновляемые дистрибутивы

"Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."
Отправлено Онаним , 08-Окт-21 09:30 
Ну, bleeding edge на то и bleeding edge.
Вменяемые на таковом сидящие прекрасно это понимают.
А вот сидящие от фанатизма - не всегда, поэтому как обычно вопли и сопли.
"Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."
Отправлено Онаним , 08-Окт-21 09:32 
Я с этими переплясками включил ждуна, и пожалуй ещё пару месяцев выжду - и далее либо накачу 51, либо 52 или чего там уже будет, если changelog устроит, либо ещё подожду :D
"Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."
Отправлено Аноним , 08-Окт-21 10:24 
Что вы хотели сказать вот этой фразой?
> bleeding edge
"Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."
Отправлено Ordu , 08-Окт-21 18:50 
Предположу, что фразой "bleeding edge" он хотел сказать "bleeding edge".
"Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."
Отправлено Онаним , 09-Окт-21 11:06 
Абсолютно так.
Говоря "bleeding edge", я имел в виду именно "bleeding edge", не подразумевающее ничего кроме "bleeding edge".
"Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."
Отправлено Аноним , 08-Окт-21 09:01 
позорище
"Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."
Отправлено Ананоним , 08-Окт-21 09:05 
Шо, опять???
"Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."
Отправлено Аноним , 08-Окт-21 09:11 
> была заблокирована возможность использования последовательности "%2e" для кодирования точки...
> но упущена возможность двойного кодирования...

А потом тройного, четверного... Не кажется ли, что они не на том конце проверку делают?

"Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."
Отправлено пох. , 08-Окт-21 19:16 
Кажется. Херачь молнией, Г-ди, не осталось тут праведников.

Уж если в разработчики апача понабрали подобных макак, которым даже предыдущий факап не подсказал что надо делать проверки после декодирования, нормализации и что там еще предполагается перед обращением к файловой системе, а не в процессе.

Отдельный вопрос - а зачем они делают двойное декодирование и не надо ли в этом месте вернуть то, что у nginx называется 444 - захлопнуть сессию без объяснений и записать в лог про попытку хакинга. Поскольку никаких легитимных применений подобной бредятине не просматривается, а кому очень-очень надо - пусть себе двойное и десятерное декодирование вручную разрешает и уже потом не плачет о последствиях.

"Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."
Отправлено Аноним , 09-Окт-21 00:40 
Макак туда понабрали еще во времена разработки ветки 2. В 1.3 все было аккуратно и с пониманием дела. А из второго те же race conditions на stat-ы вычищали долго и мучительно. Ну потому что внезапно разработчики веб-сервера не понимают, что он работает в многозадачной среде.
"Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."
Отправлено пох. , 09-Окт-21 12:29 
Ну, там разно было - достаточно вспомнить, что вызвало появление 1.3.26 (правда, потом на те же грабли со всего разбега наделся nginx)

И точно такой же насквозь гнилой mod_proxy (вообще не понимаю, кто им мог пользоваться и для чего) как и по сей день (думаю, потому что никто им и не пользуется с тех пор)

Это помимо родовых травм с lingering sockets, кстати, принесенных тогда входившим в моду http/1.1

А в 2.0 ради винды и "упрощения модулей" да, попереломали вообще все подряд. Но к 2.2 почти все уже встало на свои места, снова стало можно пользоваться, подложив соломку где надо.

"Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."
Отправлено Аноним , 09-Окт-21 14:26 
Ох, пляски вокруг lingering sockets - это вообще следствие родовой травмы http.
С аплоадом вроде как придумали 100 Continue, но ни один браузер так и не поддерживает до сих пор.
"Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."
Отправлено Аноним , 09-Окт-21 14:29 
> к 2.2 почти все уже встало на свои места

Возможно. К 2.2 я уже полностью перелез на nginx. В принципе, сменил одни грабли на другие, да, но там хотя бы код куда менее объемный (был), и логику одного разработчика куда проще понять, чем логику десятков.

"Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."
Отправлено john_erohin , 10-Окт-21 17:25 
> зачем они делают двойное декодирование

если клиент сидит за семью проксями, то придется делать
и восьмипроходное декодирование (нормализацию).
в общем случае, пока предыдущий_результат != новый_результат.

"Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."
Отправлено пох. , 12-Окт-21 07:48 
вот прокси пусть и делает. Никто тебе не гарантирует что урл ../../что-то вообще допустим на этом сайте - даже если в принципе путь такой есть и находится внутри дерева сайта.

Это не файловая система.

Если прокси вместо правильного урла нафантазировал билиберду - пусть пользователь его и чинит себе.

"Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."
Отправлено Онаним , 08-Окт-21 09:29 
Эээээ, а с хрена ли оно делает двойное декодирование.
Кого вообще к эскейпингу подпустили в этот раз-то?
"Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."
Отправлено Аноним , 08-Окт-21 09:37 
Двойные стандарты
"Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."
Отправлено Аноним , 09-Окт-21 03:53 
Этих, как их... эсджевешников.
"Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."
Отправлено Аноним , 08-Окт-21 09:45 
Так и придется переделать себе работающий-ничего-не-трогай сайт с версии PHP 7.0 на ту, что в Debian 11. А так не интересно, т.к. я уже Гофер, и апачи не нужны.
"Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."
Отправлено Аноним , 08-Окт-21 10:01 
> …но упущена возможность двойного кодирования - при указании последовательности "%%32%65" сервер декодировал её в "%2e", а затем в ".", т.е. символы "../" для перехода в предыдущий каталог можно было закодировать как ".%%32%65/".

Может всё-таки в тёмное место этот percent encoding пора, а? Юникот на дворе.

"Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."
Отправлено burjui , 08-Окт-21 12:39 
*deleted*
"Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."
Отправлено burjui , 08-Окт-21 12:40 
Вообще, конечно, пора, но это не отменяет того факта, что код декодирования писал слишком умный для самого себя человек.
"Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."
Отправлено InuYasha , 08-Окт-21 10:07 
Дежа вю. И снова Debian to the rescue )
"Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."
Отправлено Рейка Сметанова , 08-Окт-21 10:40 
Надо было юзатб nginx
"Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."
Отправлено Аноним , 08-Окт-21 10:59 
Не nginx, а thttpd.
"Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."
Отправлено Аноним , 08-Окт-21 11:55 
Чем он лучше?
"Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."
Отправлено Qwerty , 08-Окт-21 12:25 
да
"Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."
Отправлено OpenEcho , 08-Окт-21 18:38 
> Не nginx, а thttpd.

Да чё мелочиться, надо использовать то, что под рукой: busybox httpd

"Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."
Отправлено Аноним , 08-Окт-21 10:51 
Все же пора на rust!
"Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."
Отправлено Аноним , 08-Окт-21 11:02 
Не на Rust, а на Elm.
"Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."
Отправлено Аноним , 08-Окт-21 11:09 
Хрен редьки не слаще)
"Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."
Отправлено Аноним , 08-Окт-21 11:39 
https://github.com/marceloboeira/rust-elm
"Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."
Отправлено Аноним , 08-Окт-21 12:23 
Ммм еще и с докером! Нямка. Предлагают назвать переписанный продукт не апач, а срач. Ну чтоб луддитам поднагадить таким макаром.
"Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."
Отправлено пох. , 08-Окт-21 19:23 
with multistage(!) docker build, а не хрен собачий!


Впопачь. Что отражает ориентацию типичных разработчиков подобного. Причем в самом плохом смысле.


"Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."
Отправлено Аноним , 08-Окт-21 20:49 
Вы такой злой потому, что лысый?
"Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."
Отправлено Аноним , 09-Окт-21 00:21 
Он зол, но справедлив. В наше время без этого никак.
"Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."
Отправлено Аноним , 09-Окт-21 10:26 
А в чём смысл этой "справедливости" поха?
"Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."
Отправлено Terraforming , 08-Окт-21 15:32 
Не на раст а просто запускать в докере.
"Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."
Отправлено Alladin , 08-Окт-21 23:50 
А докер в докере с докером добавив докер спросив о докере.
"Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."
Отправлено Terraforming , 09-Окт-21 04:14 
> А докер в докере с докером добавив докер спросив о докере.

Docker это старый добрый chroot только лучше. Apache еще в 2002 запускали в chroot чтобы не было доступа к системным файлам.

"Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."
Отправлено пох. , 09-Окт-21 09:24 
> Docker это старый добрый chroot только лучше.

чем лучше - чем грузины!

https://www.cvedetails.com/product/28125/Docker-Docker.html?...

в старом добром chroot не было хотя бы "code execution".


> Apache еще в 2002 запускали в chroot чтобы не было доступа к системным файлам.

у кого руки росли из жопы и голова тоже в жопе, безусловно, так и делали.

Остальные прекрасно понимали, что на машине с апачем основные "системные файлы" лежат в /home/www и все остальное после этого уже ломаного гроша не стоит.

"Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."
Отправлено Alladin , 08-Окт-21 23:49 
Согласен, такую халтуру с путями сделать это смешно.

Я не осведомлен какие апи использовали в апаче, но в раст std с определением относительности путей с разными кодировочными символами все ок.

"Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."
Отправлено Аноним , 09-Окт-21 03:20 
Если rust локальные файлы открывает с перекодировкой из url encoding то у меня для тебя плохие новости.
"Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."
Отправлено Аноним , 08-Окт-21 12:53 
Два релиза в неделю !
Вот что Раст от-контроля-отучающий делать может!
"Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."
Отправлено Аноним , 08-Окт-21 13:32 
С 28 сентября ажно 3.
Вот и уровень современных сишников. Под деградацию протащат и раст, ибо так им проще. А прикроются "луддитами". Все старо, как мир.
"Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."
Отправлено BorichL , 08-Окт-21 15:51 
Дык раст изначально под деградатов делали.
"Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."
Отправлено Аноним , 08-Окт-21 16:14 
Правильно. Которые в си осилили так, как есть. На примере сабжа даже видно.
Но чтобы убедить в нужности перехода на новое, нужно сперва дискредитировать старое. Что мы и наблюдаем, утирая скупую мужскую слезу.
"Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."
Отправлено пох. , 08-Окт-21 19:22 
> Проблема проявляется только в выпусках 2.4.49 и 2.4.50,

так что со старым все в общем хорошо.

Остается расслабиться и подождать еще одно поколение апачеписак. Пережили мы 2.0 с невменяйками, захотевшими винды и "упрощения разработки модулей" (в результате по сути угробив 3d party модули вообще, доупрощались). К версии 2.2 они все отправились улучшайкать что-то еще, или руководителями заделались, и стало снова можно пользоваться.

"Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."
Отправлено Аноним , 08-Окт-21 19:55 
Так то оно так, но не забываем о 28 сентября.

https://www.vuxml.org/freebsd/882a38f9-17dd-11ec-b335-d4c9ef...


Многовато для 10 дней.

"Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."
Отправлено Аноним , 08-Окт-21 20:02 
Или от 23 сентября

https://www.cvedetails.com/cve/CVE-2021-40146/

"Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."
Отправлено Аноним , 08-Окт-21 20:03 
Сам не юзаю папач года полтора. Смотрю на все и понимаю, вовремя срулил.
"Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."
Отправлено пох. , 08-Окт-21 20:26 
это не имеет ни малейшего отношения к httpd. Уровень впопеннета, чо.

"Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."
Отправлено Аноним , 08-Окт-21 22:22 
Соряю, мой косяк. Не тот линк спастился

https://www.cvedetails.com/vulnerability-list/vendor_id-45/p...

4 cve за сентябрь.

"Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."
Отправлено пох. , 09-Окт-21 09:18 
Ну а если не копипастить а еще и читать - там большая часть проблем традиционно в mod_proxy (которым пользоваться нельзя и это табу еще времен апача 1.3), моднявом http/2-3-4-5, общие для всех прожектов потащивших это ненужное ненужно в свой код, несуществующих модулях с несуществующими глюками и тому подобная ересь.

А серьезная проблема ровно одна и та сомнительной опасности.

Так что особой проблемы еще лет десять пользоваться апачем полугодичной давности вряд ли предвидится.

А там либо шах, либо ишак, либо сам Ходжа... либо гибель цивилизации и уже больше будут цениться умения пригибаться и стрелять чем всякая ненужная фигня. Насреддину-то, походу, больше свезло с эпохой.

"Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."
Отправлено Аноним , 09-Окт-21 10:09 
>Ну а если не копипастить а еще и читать - там большая часть проблем традиционно
>А серьезная проблема ровно одна и та сомнительной опасности.

Почему ты считаешь, что если культура производства этого мода такая, то в остальном все карашо?
Просто остальное еще в активной эксплуатации и не передано к анализу и исправлению. Не?

>Так что особой проблемы еще лет десять пользоваться апачем полугодичной давности

:)

>Насреддину-то, походу, больше свезло с эпохой.

https://4.bp.blogspot.com/-6NvRfGTWHvg/XKsCLFEljCI/AAAAAAAAE...

"Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."
Отправлено Аноним , 09-Окт-21 10:17 
Ну а суть человеков не менялась с времен начала нашей эры. Менялись лишь декорации. Внутри же все одно.
"Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."
Отправлено пох. , 09-Окт-21 12:20 
> Ну а суть человеков не менялась с времен начала нашей эры.

перечитай Старшую Эдду. Еще как менялась. Ну или нартский эпос, куда удобочитаемей, но там сложнее отделить поздние примеси.

Сдохнуть с мечом в руке - это тебе не смузи жрать.

"Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."
Отправлено Аноним , 09-Окт-21 13:47 
Да чего далеко ходить? Тут в соседнем треде все. Народ гагаринский, свиньи, русский линукс. А что емть Легион так и не поняли. А свиньи как были 2 тыс лет назад "грязным" имуществом, так и остались. Сменились только декорации...

Во все времена были свои "смуззи". И иной раз они даже превращались в достойных представителей.

Ну а ежели цикл будет нарушен, нам точно хана.

"Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."
Отправлено Аноним , 09-Окт-21 14:05 
Дополню себя.

>Ну а ежели цикл будет нарушен, нам точно хана.

В след итерации есть шанс изменить ход.

"Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."
Отправлено Аноним , 09-Окт-21 11:11 
>либо гибель цивилизации и уже больше будут цениться умения пригибаться и стрелять чем всякая ненужная фигня.

Как не парадоксально, но послевоенный мир всегда ознаменовывается подьемом. Как индустриальным, так и моральным. Чистка/сплочение/дух. И нет времени и сил на ненужную фигню.

"Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."
Отправлено пох. , 09-Окт-21 12:06 
Ты не путай послевоенный мир и гибель пережравших смузи цивилизаций.

С 1 по 10 век нашей эры никакого подъема не было - даже такие примитивные вещи как канализацию и водопровод переизобретали потом еще лет 500. И еще 300 до внедрения не в единичных реализациях.

Ибо "нет времени и сил на ненужную фигню - надо срочно бежать убивать соседа". Пока тот первым не прибежал.

"Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."
Отправлено Аноним , 09-Окт-21 13:53 
Вот ведь интересно. Из раза в раз мы с тобой возвращаемся к этой теме. Шли годы...:)

Войны приходили тогда, когда народ пережирал смуззи. Вспомни содом и гоморру. Все старо...

С 1-10 вв тоже был свой прогресс. А смуззей поменьше, потому что соседи чаще набегали.

Сейчас вот видишь, ковид появился. И реалии его далеки от того, что по тв да в табличках. Там очень интересный механизм последствий отдаленных.

Но нужно несмотря ни на что. Вопреки всему.

"Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."
Отправлено пох. , 09-Окт-21 14:12 
> Войны приходили тогда, когда народ пережирал смуззи.

да нет, откуда. Готские войны - банально жрать нечего. Обоим сторонам. Кто были посытее, голодных перебили. Мавританское завоевание - [предпоследнего] тяжело больного короля убили в постели  "потому что некто враждебный ему убрал от него оружие" - вот ета жизть, эт я понимаю, умирающий не может отпустить оружия, чтоб не умереть прямщас. Смузи тут пить некогда и негде.

И там куда не плюнь, где вообще внятная письменная история осталась.

"Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."
Отправлено Аноним , 09-Окт-21 14:34 
Правильно, но все это мотивировалось чем, тем, что у кого-то было не так. Другой стороне казалось, что вот сейчас...и счастье.
Разница только в обьеме переедания...

Вот так и нам с тобой сейчас кажется, что эти совсем ппц и крах цивилизации. Оно так-то небезосновательно нам кажется! Но истина всегда где-то между...
Во все времена подобное было. Пока разруливалось.

Просто ты по-духу воин и конечно смотреть тебе на все это смрадно. Но будь все воины...сам понимаешь. Давно бы нас никого не осталось. Тут баланс важен!

"Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."
Отправлено Онаним , 09-Окт-21 11:08 
Хруст будет очень сложно "протащить под деградацию", потому что он и так находится внизу этой пищевой цепочки.
"Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."
Отправлено Аноним , 08-Окт-21 18:58 
Ну всё правильного. http головного мозга.
"Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."
Отправлено Аноним , 09-Окт-21 00:57 
Lighthttpd норм сервер?
"Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."
Отправлено Аноним , 09-Окт-21 01:17 
Для отдачи статики норм. Лайти для этого обычно применяют. Закрываешь им или хдвижком попачь и норм.
Сам юзаю https://bsd.plumbing/about.html
"Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."
Отправлено Аноним , 09-Окт-21 01:58 
Спасибо. Мне для статики + fascgi. Просто хотелось убедиться, что у него нет репутации дырявого сервака.
"Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."
Отправлено Аноним , 09-Окт-21 08:15 
Да он дырявый, ты не беспокойся.
"Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."
Отправлено Аноним , 09-Окт-21 09:59 
Нет, репутации дырявого за ним нет.

https://www.cvedetails.com/product/4762/Lighttpd-Lighttpd.ht...

"Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."
Отправлено Аноним , 09-Окт-21 10:11 
Тут скорее в скрипты смотреть. Там дыр обычно больше.
"Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."
Отправлено _kp , 11-Окт-21 11:52 
Какие то извращенцы.. Зачем соваться блокировать 2Е в URI, кстати проделывая лишнюю работу, когда можно перехватив работу с путями за счет кеширования еще и быстродействие поднять.
Да, я не смотрел детали, что там сейчас в Apache, но веб серверы писал, и мне странно читать про такие ляпы, и костыльные подпорки особенно.
"Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."
Отправлено Аноним , 13-Окт-21 08:15 
Такой вот уровень программистов поколения растаманов.