The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимостей в HTTP/2"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимостей в HTTP/2"  +/
Сообщение от opennews (??), 21-Окт-23, 23:43 
Опубликован релиз HTTP-сервера Apache 2.4.58, в котором представлено 33 изменения и устранены три уязвимости, две из которых связаны с  возможностью осуществления DoS-атаки на системы, использующие протокол HTTP/2...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=59971

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


2. "Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."  –7 +/
Сообщение от Аноним (2), 22-Окт-23, 00:16 
> Релиз http-сервера Apache

Ух, повеял запашок нафталина из бабушкиного шкафа в далеком детстве.

Ответить | Правка | Наверх | Cообщить модератору

3. "Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."  +4 +/
Сообщение от Абра (?), 22-Окт-23, 00:25 
Либо Вы предлагаете альтернативы, либо очередное голословное заявление
Ответить | Правка | Наверх | Cообщить модератору

5. "Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."  –14 +/
Сообщение от Аноним (2), 22-Окт-23, 00:38 
Ещё скажи что ты про aws, azure и т.д. ничего не слышал. Как там в твоей Кастраме сидится в местечковом НИИ? Интернет какой? Небось adsl 64 килобит?
Ответить | Правка | Наверх | Cообщить модератору

11. "Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."  +7 +/
Сообщение от Аноним (11), 22-Окт-23, 02:49 
>aws, azure

Рука лицо. Конечно же лучше отдаваться на волю корпораций нежели поднять свой сервер. Откуда вы только по вылазили, модные молодежные.

Ответить | Правка | Наверх | Cообщить модератору

17. "Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."  –4 +/
Сообщение от Аноним (17), 22-Окт-23, 03:52 
Рукалицо — это в первую очередь про сисадминов локалхоста, вожделеющих «свой сервер». Для остальных это бизнес, ничего личного. Циферки показывают, что в большинстве случаев «свой сервер» обходится дороже, чем грамотная облачная архитектура.
Ответить | Правка | Наверх | Cообщить модератору

18. "Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."  +/
Сообщение от Аноним (2), 22-Окт-23, 04:32 
Свой север обходится всегда дороже если это реально сервер, а не игрушка которая включается пару раз в день. Начиная от энергопотребления, необходимости иметь админа который шарит в железе, серверной, заканчивая надёжностью, удобством и аптаймом. Но вот я уверен, что мой коммент местные деды закидают минусами.
Ответить | Правка | Наверх | Cообщить модератору

32. "Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."  +1 +/
Сообщение от Tron is Whistling (?), 22-Окт-23, 09:38 
Ровно до момента, пока тебя не интересует сохранность данных или не надо соблюдать GDPR, например.
Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

37. "Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."  +1 +/
Сообщение от пох. (?), 22-Окт-23, 11:29 
ну вот нет, соблюдать и прочие религиозные обряды как раз правильней передать в оооооблачко (гейропские прекрасно соблюдают, обложились сурами и хадисами и соблюдают, во всю).

К сохранности данных разумеется все это отношения не имеет, только к религии.

Ответить | Правка | Наверх | Cообщить модератору

35. "Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."  +3 +/
Сообщение от YetAnotherOnanym (ok), 22-Окт-23, 11:21 
Куколд (дословно - рогоносец) - человек, добровольно отдающий посторонним что-либо важное, что должно находиться в его исключительном владении.
Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

44. "Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."  +/
Сообщение от Аноним (44), 22-Окт-23, 13:05 
А кто сказал что данные моих пользователей мне важны?

Они eulu подписали? Подписали.
Там было написано что оно хранится у гугла? Было.
Им что-то не нравится? Пусть переходят к другому поставщику услуг.
Нафиг мне головняк с безопасностью ИХ данных. Если будут проблемы - пусть разбираются с гуглом.

Ответить | Правка | Наверх | Cообщить модератору

51. "Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."  +/
Сообщение от Аноним (2), 22-Окт-23, 19:29 
> А кто сказал что данные моих пользователей мне важны?

Аплодирую стоя (без иронии).

Ответить | Правка | Наверх | Cообщить модератору

53. "Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."  +/
Сообщение от Tron is Whistling (?), 22-Окт-23, 21:03 
И ведь перейдут, лол.
Не, в этой стране не перейдут.
В Европе - запросто. Обгадят на форумах и вообще какaшками закидают.
А в США так и вообще class action можно выловить при особо удачном стечении обстоятельств.
Ответить | Правка | К родителю #44 | Наверх | Cообщить модератору

54. "Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."  +/
Сообщение от Аноним (44), 22-Окт-23, 21:56 
> Не, в этой стране не перейдут.

В этой стране гордые одмины одиночки будут разворачивать свои локалхоты в полной уверенности что они контролируют всё и вся)))

> В Европе - запросто. Обгадят на форумах и вообще какaшками закидают.

Обгадят что? Что у меня storage у гугла или амазона?
Не смеши, там такие отбитые как тут - вымирающий вид.
Наоборот - у гугла есть свой отдел ИБ, а главное - представительства что в ЕС, что в США.
А у мелкой фирмы что? Пара васянов-админов? Индийский аутсорс?

> class action

Да неужели))) Если утечка будет по вине гугла - то это будут проблемы гугла.
Я со своей стороны сделал все от меня зависящее.

Ответить | Правка | Наверх | Cообщить модератору

55. "Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."  +/
Сообщение от Tron is Whistling (?), 23-Окт-23, 00:01 
Я понимаю, что альтернативная реальность и розовые пони - это хорошо, но выпади в реальный мир уже.
Ответить | Правка | Наверх | Cообщить модератору

60. "Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."  +/
Сообщение от User (??), 23-Окт-23, 07:04 
Это в тот, в котором тындекс за утечкуу данных клинетов 20, что ли тысяч заплатил?
Ответить | Правка | Наверх | Cообщить модератору

62. "Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."  +/
Сообщение от Tron is Whistling (?), 23-Окт-23, 09:13 
Не, ну реальный мир - это не про эту страну опять же, здесь условно театр одной группы актёров, всё понятно.
Ответить | Правка | Наверх | Cообщить модератору

63. "Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."  +/
Сообщение от Аноним (44), 23-Окт-23, 10:00 
При чем тут альтернативная реальность? Давай тогда пруфы когда за взлом дают реальные сроки.
За последний год-два была куча больших утечек, там же наверняка есть пара судебных дел, не так ли?))
Ответить | Правка | К родителю #55 | Наверх | Cообщить модератору

64. "Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."  +/
Сообщение от Tron is Whistling (?), 23-Окт-23, 12:20 
Именно за взломы - да пожалуйста, https://www.wsj.com/world/russia/russian-hacker-sentenced-to...

Если мы говорим о компаниях и утечках, можно вот сюда например: https://www.csoonline.com/article/567531/the-biggest-data-br...

Дальше, надеюсь, вас в гугле ещё там не забанили?

Ответить | Правка | Наверх | Cообщить модератору

67. "Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."  +/
Сообщение от Анонин (?), 23-Окт-23, 16:25 
Что-то мне кажется, мы о разных вещах говорим.
Напомню, что изначально в треде предложили разворачивать инфру в облаках типа aws, azure, gcloud и тд, вместо разворачивания и поддержки своего. На что оппоненты возразили, что это "отдаваться на волю корпораций" и прочий булщит.

Какой смысл кидать ссылку на wsj, если там дали срок тому КТО взламывал, а не тому, КОГО взломали?

По второй ссылке
- китайцы штафонули китайцей... ну хз, может они своему майору ключи не дали и за это их наказали
- амазон нарушил GDPR
- Equifax не пропатчил свой апатч, правда другой, но все равно хехе)))
- GDPR
- GDPR
- у остальных тоже или GDPR или своя инфра

Но нет ни одного примера чтобы взломали поставщика услуг, а штраф пришел фирме, которая там хранила данные.

PS: что гугл клауд, что авс - gdpr complient
https://cloud.google.com/privacy/gdpr
https://aws.amazon.com/compliance/gdpr-center/?nc1=h_ls


Ответить | Правка | Наверх | Cообщить модератору

70. "Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."  +/
Сообщение от Tron is Whistling (?), 23-Окт-23, 23:32 
Срок тому, КОГО взломали?
Батенька лютый фантазёр.
Но по голове всё равно не погладят.
Ответить | Правка | К родителю #67 | Наверх | Cообщить модератору

65. "Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."  +/
Сообщение от Tron is Whistling (?), 23-Окт-23, 12:26 
Мелочёвка по понятным причинам в крупные новости не попадает.
Но если вы в Европе вот так на голубом глазу суду скажете, что GDPR нарушен не вами, а гуглом, потому что _вы_ приняли решение данные в гугле держать - я вам дальше в рамках процесса не позавидую.
Ответить | Правка | К родителю #63 | Наверх | Cообщить модератору

66. "Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."  +/
Сообщение от Tron is Whistling (?), 23-Окт-23, 12:28 
[конкретно у нас сейчас вообще 100% политика на локализацию данных, что меня несказанно радует - все идеи отдельных товарищей на облачка зарубились полностью]
Ответить | Правка | Наверх | Cообщить модератору

68. "Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."  +/
Сообщение от Анонин (?), 23-Окт-23, 16:27 
Ну удачи, думаю нам больше не о чем говорить.
Ответить | Правка | К родителю #66 | Наверх | Cообщить модератору

19. "Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."  +/
Сообщение от Аноним (2), 22-Окт-23, 04:39 
Если ты такой уж нефтяной магнат и политик топ уровня, что аж не боишься западных корпораций, найди местную со скрепами.
Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

27. "Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."  +/
Сообщение от Аноним (27), 22-Окт-23, 07:27 
> нежели поднять свой сервер

Лет 15 назад это было бы круто. Сейчас к собственному серверу полагается иметь отдел ИБ со специалистами, который не каждая корпорация потянет. Поэтому - только аутсорсинг. К сожалению, т.к. "поиграться" не удастся.

Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

29. "Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."  +2 +/
Сообщение от Аноним (29), 22-Окт-23, 08:28 
Облачный стэк к твоему неумению настраивать вэб-сервер никак не относится. В конечном счёте "облака" в значительной части построены на всём том же, что доступно локально. А если ты не разрабатывал никогда ничего в жизни, а сразу "мне всё в облако", особенно IoT, то ты тот ещё прыщеносец - иди на другие курсы, там тебе ещё что-то продадут
Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

34. "Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."  +/
Сообщение от лютый арчешкольник... (?), 22-Окт-23, 09:55 
>скажи что ты про aws, azure и т.д. ничего не слышал

что мешает любителям нафталина гонять апача в абажурных авс? )

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

57. "Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."  +/
Сообщение от _ (??), 23-Окт-23, 04:12 
Естественно ничего не мешает. Даже больше скажу - там апача даааалеко не нуль. (И да - я и сам офигел сколько 8-о )
Но откуда это знать салагам? :-) Ониж думают что там "что то другое" а не просто чужой контупер :)
Ответить | Правка | Наверх | Cообщить модератору

61. "Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."  +/
Сообщение от User (??), 23-Окт-23, 08:28 
А чем мне aws\azure поможет, если росатомные датасатанисты в клювике принесли аналоговнету на astra linux -apache + mod_php - postgres?
Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

39. "Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."  +/
Сообщение от Ilya Indigo (ok), 22-Окт-23, 12:10 
На N начинается, на X заканчивается, запамятовал, очень длинное название и про него мало кто знает, он ужасно редкий.
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

46. "Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."  +1 +/
Сообщение от OpenEcho (?), 22-Окт-23, 13:24 
> На N начинается, на X заканчивается, запамятовал, очень длинное название и про него мало кто знает, он ужасно редкий.

Не боись, он скоро укоротится в названии до F5

Ответить | Правка | Наверх | Cообщить модератору

58. "Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."  +/
Сообщение от _ (??), 23-Окт-23, 04:14 
Бросить раскрученный trademark(tm) ?!?!?
Да за такое и партбилет на стол можно!
:-D
Ответить | Правка | Наверх | Cообщить модератору

56. "Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."  –1 +/
Сообщение от Tron is Whistling (?), 23-Окт-23, 00:04 
Не вставать колом из-за модулей уже умеет? Динамику внутрь навесили, или только FCGI?
Ну и нафиг он такой красивый нужен? Для прокси есть haproxy, для всего остального - апач.
Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору

59. "Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."  +/
Сообщение от _ (??), 23-Окт-23, 04:15 
Девушки бывают разные (С) Норот
Ответить | Правка | Наверх | Cообщить модератору

4. "Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."  +2 +/
Сообщение от Аноним (4), 22-Окт-23, 00:32 
Всех недалеких хайпажоров хотел спросить, вас апач в какое место укусил?
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

6. "Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."  –3 +/
Сообщение от Аноним (2), 22-Окт-23, 00:39 
Да ни в какое. Нормальная вещь была. Ключевое БЫЛА. Лет 15-20 назад. На пороге вообщет 2к24
Ответить | Правка | Наверх | Cообщить модератору

23. "Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."  +/
Сообщение от leap42 (ok), 22-Окт-23, 05:28 
А что, в http завезли что-то новое, чего в Апачи нет (да, это читается именно так)? Проблема сабжа не в возрасте, а в конфигах, которые придумали кальмары для осьминогов, неоптимальных (для перфы) дефолтах и общей громоздкости в архитектуре.
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

24. "Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."  +1 +/
Сообщение от Вася (??), 22-Окт-23, 06:43 
http скорее просто увезли, если ты об этом. Зато привезли парочку новых https
Ответить | Правка | Наверх | Cообщить модератору

28. "Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."  +/
Сообщение от Аноним (27), 22-Окт-23, 07:35 
> Зато привезли парочку новых https

Вот тут поподробнее. Если на внутреннем сервере мы делем https, то каким-то образом нужно создать дыру наружу для этого самого s. Ошибаюсь? Да, и при каждом обращении к серверу будет обращение к удостоверяющему центру. Который может внезапно :) стать не доступным. Нет, конечно можно использовать как бы типа госсертификат. Но тогда вообще какой смысл в https?

Ответить | Правка | Наверх | Cообщить модератору

30. "Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."  +/
Сообщение от Вася (??), 22-Окт-23, 08:40 
>> Зато привезли парочку новых https
> Вот тут поподробнее. Если на внутреннем сервере мы делем https, то каким-то
> образом нужно создать дыру наружу для этого самого s. Ошибаюсь? Да,
> и при каждом обращении к серверу будет обращение к удостоверяющему центру.
> Который может внезапно :) стать не доступным. Нет, конечно можно использовать
> как бы типа госсертификат. Но тогда вообще какой смысл в https?

на вопросы про "внезапно" ответ может быть один:
почему ты мне задаешь вопросы, которые решаются административно?
я что ли хочу следить за тобой в интернете 24х7 или слабовик с комплексом бога?
единственное, как тут можно противостоять - это НЕ помогать. Либо s с доверенными сертификатами, либо никак.

Ответить | Правка | Наверх | Cообщить модератору

40. "Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."  +/
Сообщение от fi (ok), 22-Окт-23, 12:23 
> Да, и при каждом обращении к серверу будет обращение к удостоверяющему центру

Насколько нужно быть ниже плинтуса чтоб писать такую чушь.  так и проситься — «Аноним порол чушь, она визжала» :DDDDDDDDDD

Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору

33. "Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."  +/
Сообщение от Tron is Whistling (?), 22-Окт-23, 09:40 
Ну привезли и привезли. Связка haproxy->apache через доверенную сеть позволяет не париться по поводу того, что там ещё снаружи подвезли. Внутри голый HTTP, снаружи хоть чёрт лысый.
Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

31. "Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."  –1 +/
Сообщение от ivan_erohin (?), 22-Окт-23, 09:13 
как только веб-погромисты забьют на .httacces окончательно совсем,
так сразу свежим воздухом и повеет.
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

72. "Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."  +/
Сообщение от rvs2016 (ok), 28-Окт-23, 02:33 
> как только веб-погромисты забьют
> на .httacces окончательно совсем

А эти разве продолжают ещё использовать?
Они ж были нужны тогда, когда раздавались "домашние странички" юзерам, которых не пустишь же внутрь httpf.conf.
Но те времена давно ж лет 25 назад прошли уж.
Или не прошли?! 😲

Ответить | Правка | Наверх | Cообщить модератору

73. "Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."  +/
Сообщение от ivan_erohin (?), 29-Окт-23, 07:36 
> А эти разве продолжают ещё использовать?

разумеется !
.htaccess - быстрый метод исправить что-то (в т.ч. заткнуть свеженайденую дырку.),
не лазя в легаси php код, который кое-как работает и не трожь а то сломаешь.

Ответить | Правка | Наверх | Cообщить модератору

74. "Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."  +/
Сообщение от ivan_erohin (?), 01-Ноя-23, 09:48 
можно было ответить короче и одним словом: Bitrix !
(тоже дрянь-программа уровня 1С, только вебня).
Ответить | Правка | К родителю #72 | Наверх | Cообщить модератору

47. "Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."  +/
Сообщение от FF (?), 22-Окт-23, 14:19 
А ты что-нибудь сделал такого, что уже годами работает и служит? Такое надо латать хотя бы.
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

48. "Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."  +1 +/
Сообщение от FF (?), 22-Окт-23, 14:23 
Если все время переписывать под новые модные фреймворки, выходящие раз в квартал с новым API, то новым будет как раз некогда заниматься.
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

49. "Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."  –1 +/
Сообщение от FF (?), 22-Окт-23, 14:27 
А ещё в том же PHP не нужно качать leaftpad() и isZero() всякие, они там из коробки с документацией.
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

36. Скрыто модератором  +3 +/
Сообщение от YetAnotherOnanym (ok), 22-Окт-23, 11:28 
Ответить | Правка | Наверх | Cообщить модератору

45. Скрыто модератором  +1 +/
Сообщение от Аноним (45), 22-Окт-23, 13:23 
Ответить | Правка | Наверх | Cообщить модератору

69. "Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."  +2 +/
Сообщение от Аноним (-), 23-Окт-23, 20:25 
да нормально апач пашет, любое внутреннее веб-приложение/сервис обслуживает на ура, из коробки вместе с любой обвязкой выбранной
Ответить | Правка | Наверх | Cообщить модератору

71. "Релиз http-сервера Apache 2.4.58  с устранением DoS-уязвимос..."  +/
Сообщение от rvs2016 (ok), 28-Окт-23, 02:16 
А когда они вернут поддержку FastCGI?
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру