The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Обновление nginx 1.14.1 и 1.15.6 с устранением трёх уязвимостей"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Обновление nginx 1.14.1 и 1.15.6 с устранением трёх уязвимостей"  +/
Сообщение от opennews (??), 06-Ноя-18, 20:19 
Опубликованы (http://mailman.nginx.org/pipermail/nginx-announce/2018/00021...) новые выпуски основной и стабильной веток высокопроизводительного HTTP-сервера nginx (http://nginx.org/en/download.html) - 1.14.1 (http://mailman.nginx.org/pipermail/nginx-announce/2018/00021...) и 1.15.6 (http://mailman.nginx.org/pipermail/nginx-announce/2018/00021...), в которых устранены три уязвимости (http://nginx.org/en/security_advisories.html):

-  CVE-2018-16845 (http://mailman.nginx.org/pipermail/nginx-announce/2018/00022...) - ошибка в модуле ngx_http_mp4_module (не собирается по умолчанию) может привести к краху рабочего процесса или отправке в составе ответа содержимого областей памяти рабочего процесса при обработке специально оформленных файлов mp4;

-  CVE-2018-16843 (http://mailman.nginx.org/pipermail/nginx-announce/2018/00022...) - DoS-уявзимость в реализации протокола HTTP/2, которая может привести к исчерпанию доступной процессу памяти. Проблема проявляется только при использовании модуля ngx_http_v2_module и указании опции "http2" в блоке "listen";
-  CVE-2018-16844 (http://mailman.nginx.org/pipermail/nginx-announce/2018/00022...) -  DoS-уявзимость в реализации протокола HTTP/2, которая может привести к утилизации доступных ресурсов CPU.


В выпуске 1.15.6 дополнительно добавлены новые директивы "proxy_socket_keepalive (https://nginx.org/en/docs/http/ngx_http_proxy_module.html#pr...)", "fastcgi_socket_keepalive",
       "grpc_socket_keepalive", "memcached_socket_keepalive",
       "scgi_socket_keepalive", и "uwsgi_socket_keepalive" для настройки keepalive для исходящих соединений (включения или выключения опции  SO_KEEPALIVE для сокетов). Исправлена ошибка, из-за которой протокол TLS 1.3  оставался постоянно включен при сборке с
OpenSSL 1.1.0 и использовании OpenSSL 1.1.1. В бэкендах  gRPC сокрашено потребление памяти.


URL: http://mailman.nginx.org/pipermail/nginx-announce/2018/00021...
Новость: https://www.opennet.ru/opennews/art.shtml?num=49567

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Обновление nginx 1.14.1 и 1.15.6 с устранением трёх уязвимос..."  –4 +/
Сообщение от Аноним (1), 06-Ноя-18, 20:19 
Так вот он чем лучше апача...
Ответить | Правка | Наверх | Cообщить модератору

4. "Обновление nginx 1.14.1 и 1.15.6 с устранением трёх уязвимос..."  +6 +/
Сообщение от Аноним (4), 06-Ноя-18, 20:29 
Только лишь в Apache 2.4 было в два раза больше уязвимостей, чем в nginx за всю историю.
https://httpd.apache.org/security/vulnerabilities_24.html
Ответить | Правка | Наверх | Cообщить модератору
Часть нити удалена модератором

7. "Обновление nginx 1.14.1 и 1.15.6 с устранением трёх уязвимос..."  +/
Сообщение от Аноним (4), 06-Ноя-18, 21:18 
> Зочем? У него же нормальный async polling

И как это поможет критичным к вычислительных ресурсам задачам, таким как TLS и сжатие на многоядерной системе (чуть менее чем все)?

Ответить | Правка | Наверх | Cообщить модератору

8. "Обновление nginx 1.14.1 и 1.15.6 с устранением трёх уязвимос..."  –1 +/
Сообщение от Fyjybv755 (?), 06-Ноя-18, 21:22 
>  Только лишь в Apache 2.4 было в два раза больше уязвимостей, чем в nginx за всю историю.

А если считать только moderate (DoS и pwn), проявляющиеся в дефолтной конфигурации?

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

9. "Обновление nginx 1.14.1 и 1.15.6 с устранением трёх уязвимос..."  +1 +/
Сообщение от _KUL (ok), 07-Ноя-18, 00:12 
История apache гораздо больше истории nginx
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

15. "Обновление nginx 1.14.1 и 1.15.6 с устранением трёх уязвимос..."  +3 +/
Сообщение от Аноним (15), 07-Ноя-18, 06:57 
... Поэтому, за всю историю apache уязвимостей было просто дохрена!

(Где логика в твоих словах? Если ты что-то хотел сказать - ты не договорил.)

Ответить | Правка | Наверх | Cообщить модератору

19. "Обновление nginx 1.14.1 и 1.15.6 с устранением трёх уязвимос..."  +/
Сообщение от funny.falcon (?), 08-Ноя-18, 08:22 
Логика в том, что нужно мерять не уязвимости за все время жизни, а в среднем за год.
Ответить | Правка | Наверх | Cообщить модератору

21. "Обновление nginx 1.14.1 и 1.15.6 с устранением трёх уязвимос..."  +2 +/
Сообщение от Аноним (21), 08-Ноя-18, 22:09 
nginx существует гораздо дольше, чем apache 2.4, а уязвимостей у него было вдвое меньше. Сами догадаетесь, у кого среднее в год будет меньше?

Только лишь в этом году у Apache было 10 CVE, а у nginx всего 3.

Ответить | Правка | Наверх | Cообщить модератору

10. "Обновление nginx 1.14.1 и 1.15.6 с устранением трёх уязвимос..."  +1 +/
Сообщение от Ivan_83 (ok), 07-Ноя-18, 01:30 
http2 - нинужен, вот и доказательства.
Ответить | Правка | Наверх | Cообщить модератору

20. "Обновление nginx 1.14.1 и 1.15.6 с устранением трёх уязвимос..."  +/
Сообщение от пох (?), 08-Ноя-18, 21:53 
эта оверинжиниренная бесполезная хрень ненужно даже если бы в ней не водилась дыра на дыре.

ну кроме, конечно же, гуглепейсбукотентаклей, продолжающих уничтожать любой интернет, кроме принадлежащего им.

Ответить | Правка | Наверх | Cообщить модератору

14. "Обновление nginx 1.14.1 и 1.15.6 с устранением трёх уязвимос..."  +1 +/
Сообщение от Аноним (14), 07-Ноя-18, 03:25 
Они еще живут в мире где есть TCP/IP?

QUIC наше все!

Ответить | Правка | Наверх | Cообщить модератору

16. "Обновление nginx 1.14.1 и 1.15.6 с устранением трёх уязвимос..."  –1 +/
Сообщение от Аноним (15), 07-Ноя-18, 06:59 
для Ъ объясните, что такое QUIC, пожалуйста.

SCTP не смогло забороть TCP, а этот квик - да?

Ответить | Правка | Наверх | Cообщить модератору

18. "Обновление nginx 1.14.1 и 1.15.6 с устранением трёх уязвимос..."  +/
Сообщение от Аноним (14), 07-Ноя-18, 09:00 
> что такое QUIC, пожалуйста

Идите посмотрите будущий стандарт HTTP/3 и где вы там видите TCP?

Ответить | Правка | Наверх | Cообщить модератору

17. "Обновление nginx 1.14.1 и 1.15.6 с устранением трёх уязвимос..."  +3 +/
Сообщение от пох (?), 07-Ноя-18, 07:45 
гугль, ты залогиниться забыл!

Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру