URL: https://www.opennet.dev/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 131938
[ Назад ]
Исходное сообщение
"Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимостей в HTTP/2"
Отправлено opennews , 31-Окт-23 11:54
Опубликован релиз легковесного http-сервера lighttpd 1.4.73, пытающегося сочетать высокую производительность, безопасность, соответствие стандартам и гибкость настройки. Lighttpd пригоден для применения на высоконагруженных системах и нацелен на низкое потребление памяти и ресурсов CPU. Код проекта написан на языке Си и распространяется под лицензией BSD...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=60023
Содержание
- Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо...,OpenEcho, 11:54 , 31-Окт-23
- Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо...,ryoken, 12:14 , 31-Окт-23
- Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо...,Второй из Кукуева, 15:17 , 31-Окт-23
- Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо...,fi, 12:18 , 31-Окт-23
- Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо...,Тот_Самый_Анонимус_, 01:25 , 02-Ноя-23
- Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо...,Аноним, 13:03 , 31-Окт-23
- Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо...,Anm, 17:02 , 31-Окт-23
- Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо...,Аноним, 18:50 , 31-Окт-23
- Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо...,Аноним, 14:43 , 31-Окт-23
- Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо...,Аноним, 17:08 , 31-Окт-23
- Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо...,Аноним, 15:26 , 31-Окт-23
- Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо...,YetAnotherOnanym, 16:54 , 31-Окт-23
- Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо...,Аноним, 15:32 , 31-Окт-23
- Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо...,Аноним, 16:55 , 31-Окт-23
- Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо...,_kp, 20:34 , 31-Окт-23
- Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо...,Аноним, 21:08 , 31-Окт-23
- Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо...,fuggy, 00:26 , 01-Ноя-23
- Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо...,Аноним, 21:21 , 31-Окт-23
- Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо...,_kp, 22:47 , 31-Окт-23
- Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо...,Аноним, 17:01 , 31-Окт-23
- Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо...,Аноним, 22:43 , 31-Окт-23
- Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо...,Аноним, 23:01 , 31-Окт-23
- Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо...,Аноним, 23:15 , 31-Окт-23
- Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо...,Аноним, 23:51 , 31-Окт-23
- Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо...,_, 05:42 , 01-Ноя-23
- Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо...,ivan_erohin, 09:46 , 01-Ноя-23
Сообщения в этом обсуждении
"Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо..."
Отправлено OpenEcho , 31-Окт-23 11:54
> При аномально большом числе поступающих запросов реализована отправка ответов "GOAWAY"Все сразу послушались и пошли нах...
"Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо..."
Отправлено ryoken , 31-Окт-23 12:14
Как-то они не так "F_U" написали :D.
"Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо..."
Отправлено Второй из Кукуева , 31-Окт-23 15:17
The GOAWAY frame (type=0x7) is used to initiate graceful shutdown of a connection by a server.Это штатный ответ в http/2 такой вежливый
А вот зачем они его посылают это уже вопрос, не уверен, что он тут уместен вообще
"Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо..."
Отправлено fi , 31-Окт-23 12:18
Куда им деться? ))))а по факту — больше не выделяются ресурсы, атака отбита. На следующей стадии и IP занести в блок лист.
"Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо..."
Отправлено Тот_Самый_Анонимус_ , 02-Ноя-23 01:25
>блок листblack list, чёртов толераст!
"Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо..."
Отправлено Аноним , 31-Окт-23 13:03
зачем вообще посылать ответы? чем-то напоминает ICMP-шный "порт недоступен". Если он недоступен, то вообще не надо отвечать. Если в недоступный порт кто-то ломится, то это явно не админ. Пусть злоумышленник ждет минуту ICMP-ответа, которого никогда не будет.
"Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо..."
Отправлено Anm , 31-Окт-23 17:02
в ICMP смысл отпал ещё лет двадцать назад.
"Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо..."
Отправлено Аноним , 31-Окт-23 18:50
>в ICMP смысл отпал ещё лет двадцать назад.TCP (нормально) не работает без ICMP Fragmentation Needed
"Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо..."
Отправлено Аноним , 31-Окт-23 14:43
> lighttpd 1.4.73, пытающегося сочетать [...] безопасность
> написан на языке СиЯсно, понятно...
https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=lighttpd
"Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо..."
Отправлено Аноним , 31-Окт-23 17:08
Если аналог на Расте не написан, то и уязвимостей в нем ноль.
"Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо..."
Отправлено Аноним , 31-Окт-23 15:26
Если смотреть на ютуб, то http2 вечно лагает и тормозит, и http3 нормально работает. Раньше правда то же самое было с http1 и http2, 2 при этом работал в хромиуме и 1 в фф, из-за чего создавалось ошибочное впечатление, будто фф хуже работает (на самом деле лучше). Ещё и по времени и количеству запросов большая разница. А теперь, похоже, сайт периодически отключает 3 и 2 очень лагает.
"Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо..."
Отправлено YetAnotherOnanym , 31-Окт-23 16:54
> http2 вечно лагает и тормозит, и http3 нормально работаетПотому что так надо. Если хозяин прикажет - http3 начнёт лагать, а http2 будет нормально работать. Или оба будут лагать. Или оба будут нормально работать. Как хозяин решит - так и будет.
"Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо..."
Отправлено Аноним , 31-Окт-23 15:32
А пэхэпэ к нему можно привинтить? На (не смейтесь) втором пне пойдет для лёгкого домашнего сервера?
"Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо..."
Отправлено Аноним , 31-Окт-23 16:55
Легко, через fcgi, 5 строчек в конфиге
"Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо..."
Отправлено _kp , 31-Окт-23 20:34
А почему нет, если на худосочных однопоточных ARM'ах почти без ОЗУ работает.
"Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо..."
Отправлено Аноним , 31-Окт-23 21:08
Наверно потому, что он ни разу не лайт, и не особо производительный.
"Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо..."
Отправлено fuggy , 01-Ноя-23 00:26
Такой не производительный, что его не так давно аж ютуб использовал.
"Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо..."
Отправлено Аноним , 31-Окт-23 21:21
> на худосочных однопоточных ARM'ахО каких речь идёт?
"Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо..."
Отправлено _kp , 31-Окт-23 22:47
Сейчас оборжутся даже коллекционеры 2х Пентиумов - завалявшийся контроллер на ARM926 c 256 ОЗУ. На нем простенький контроллер освещения для световых лент и датчиков света и температуры под Алису. Веб интерфейс на lighhttpd. ОС - LFS на базе Debian. Начинал на Raspberry делать, но попался готовый контроллер с корпусом, ключами, клемниками, но.. 200Мгц. Как ни странно работает с простой задачей бодро, а вебу претензий и вовсе нет.
"Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо..."
Отправлено Аноним , 31-Окт-23 17:01
Реализацию HTTP/2 (mod_h2) полностью взяли готовой от LiteSpeed. Вот и поплатились. Нет, чтобы как все нормальные люди использовать libnghttp2
"Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо..."
Отправлено Аноним , 31-Окт-23 22:43
Я ещё понимаю 15 лет назад в нём был какой-то смысл (ресурсы дорогие, железо дорогое), но сейчас то чего. Нжинкс работает на любом барахле за 5 копеек.
"Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо..."
Отправлено Аноним , 31-Окт-23 23:01
Для разных роутеров, embedded устройств.
"Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо..."
Отправлено Аноним , 31-Окт-23 23:15
Просто разработку lighttpd и nginx из авторы начинали примерно в одно и то же время, ничего не зная друг о друге. В итоге сначала lighttpd (по причине отсутствующей англоязычной документации у nginx) взлетел лучше, но потом появились англоязычные (и китаеязычные, хех) энтузиасты nginx, которые сделали вики и даже написали гайд по разработке модулей, и nginx быстро всех обогнал.По ресурсоемкости они примерно одинаковы, но nginx выигрывает в гибкости конфигурации.
"Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо..."
Отправлено Аноним , 31-Окт-23 23:51
> nginx выигрывает в гибкости конфигурацииЧто в большинстве случаев overengineering и только усложняет настройку
"Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо..."
Отправлено _ , 01-Ноя-23 05:42
Ну ЫшшО лайти CGI умеет а nginx - нет. Тогда это роляло. Сейчас понятное дело - нет :)
"Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимо..."
Отправлено ivan_erohin , 01-Ноя-23 09:46
я хотел порекомендовать анону выше по треду с ПХП и пентиум-3 nginx unit,
но у него нет 32bit бинарных сборок современных версий (только 64bit).