форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"В Apache Traffic Server 3.0.4 устранена критическая уязвимость"	+/–
Сообщение от opennews on 26-Мрт-12, 22:05
В новом выпуске высокопроизводительного кэширующего прокси-сервера Apache Traffic Server 3.0.4 (http://trafficserver.apache.org/), разрабатываемого фондом Apache, устранена (http://mail-archives.apache.org/mod_mbox/www-announce/201203...) критическая уязвимость (https://www.cert.fi/en/reports/2012/vulnerability612884.html), позволяющая удалённому злоумышленнику организовать выполнение кода на сервере через передачу запроса со специально оформленным содержимым http-заголовка "Host:". Проблеме подвержены все ранее выпущенные версии Apache Traffic Server, включая экспериментальную ветку 3.1.x, для которой также выпущено корректирующее обновление 3.1.3. URL: http://mail-archives.apache.org/mod_mbox/www-announce/201203... Новость: https://www.opennet.ru/opennews/art.shtml?num=33449
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "В Apache Traffic Server 3.0.4 устранена критическая уязвимос..."	+1 +/–
Сообщение от антоним on 26-Мрт-12, 22:05
Может кто сказать как оно по сравнению со сквидом?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	4. "В Apache Traffic Server 3.0.4 устранена критическая уязвимос..."	+1 +/–
	Сообщение от Stax (ok) on 27-Мрт-12, 03:00
	ATS намного быстрее сквида - время отклика меньше, вплоть до порядка разницы, и лучше масштабируемость на большую нагрузку - хорошо параллелится, в отличие от сквида. Он обгоняет даже haproxy по времени отклика (и намного по фичам). В то же время, кроме производительности, сквид не менее, и даже более фичаст, более распространен и прост в развертывании. Так что если сквида по скорости хватает, на ATS смотреть не нужно. ATS - это под очень большую нагрузку. http://www.scribd.com/doc/37301205/Apache-Traffic-Server-HTT... - неплохое сравнение ATS и других кэширующих серверов.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	5. "В Apache Traffic Server 3.0.4 устранена критическая уязвимос..."	+/–
	Сообщение от Аноним (??) on 27-Мрт-12, 08:13
	а на сколько он проц и память ест? а то мне достался почтовик старый (на сюзе 8) + сквид там стоит в инет ходит около 50 человек и обработка спама - лоад эверейдж постоянно на 0.6-0.8 потихоньку перевожу на дебиан и железо поновее -- или АТС в данном случае будет как из пушки по воробьям? и лучше руки из Ж вынуть и правильно настроить сквид? =D
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	6. "В Apache Traffic Server 3.0.4 устранена критическая уязвимос..."	–1 +/–
	Сообщение от o on 27-Мрт-12, 08:27
	мне кажется им не сквид менять надо а nginx.
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	18. "В Apache Traffic Server 3.0.4 устранена критическая уязвимос..."	+/–
	Сообщение от ФФ (ok) on 28-Мрт-12, 13:42
	>лоад эверейдж постоянно на 0.6-0.8 Поставить дополнительный кулер :))
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	11. "В Apache Traffic Server 3.0.4 устранена критическая уязвимос..."	–1 +/–
	Сообщение от Andrey Mitrofanov on 27-Мрт-12, 12:02
	Это не только Apache, но и TM, TLP и cloud services! А ликёро-водочный джавва завод сегодня нарядов не прислал...
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "В Apache Traffic Server 3.0.4 устранена критическая уязвимос..."	–1 +/–
Сообщение от Аноним (??) on 27-Мрт-12, 00:22
А вот меня больше интересует другое - каким местом нужно было парсить содержимое заголовка чтобы создать дырку в виде выполнения кода? "Осчучение" что такие дырки вносят намерянно.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	3. "В Apache Traffic Server 3.0.4 устранена критическая уязвимос..."	+1 +/–
	Сообщение от iCat (ok) on 27-Мрт-12, 01:07
	>...каким местом нужно было... Каким место нужно думать, чтобы рождались ТАКИЕ вопросы? А напиши-ка, милдруг, самостоятельно скриптец хотя бы. Строк на 50? Ну, например, обработку файлопомойки.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	12. "В Apache Traffic Server 3.0.4 устранена критическая уязвимос..."	+1 +/–
	Сообщение от Аноним (??) on 27-Мрт-12, 18:00
	Пишу на С/C++, в том числе и парсеры всякие. в свое время баловался - писал примитивный вебсервер, сам по себе http примитивный протокол вида GET /url HTTP/1.1 Host: virt-ser.ku.ku\r\n\ Header1: val1\r\n\ Header2: val2\r\n\ \r\n\ ... body ... Вот потому меня и интересует как так можно было распарсить?
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	7. "В Apache Traffic Server 3.0.4 устранена критическая уязвимос..."	+/–
	Сообщение от VoDA (ok) on 27-Мрт-12, 09:08
	> А вот меня больше интересует другое - каким местом нужно было парсить > содержимое заголовка чтобы создать дырку в виде выполнения кода? С или С++-ным ;)))
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

8. "В Apache Traffic Server 3.0.4 устранена критическая уязвимос..."	+/–
Сообщение от Дед Анон on 27-Мрт-12, 10:31
Я что то не могу найти, может кто подскажет... Есть ли в нём поддержка pop3 и smtp? Если нет то может под squid какой нибудь костыль бывает? А то уже задолбало натом эти порты пробрасывать.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	9. "В Apache Traffic Server 3.0.4 устранена критическая уязвимос..."	+/–
	Сообщение от антоним on 27-Мрт-12, 10:48
	А что там костылить под сквидом то? Направление решения - разрешить connect на эти порты (вписать в safe_ports или safe_ssl_ports ?).
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	10. "В Apache Traffic Server 3.0.4 устранена критическая уязвимос..."	+/–
	Сообщение от anonimous on 27-Мрт-12, 11:47
	Не там ищите, http://nginx.org/ru/#mail_proxy_server_features - самое то
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	13. "В Apache Traffic Server 3.0.4 устранена критическая уязвимос..."	+/–
	Сообщение от o on 27-Мрт-12, 18:59
	Сквид для почты называется постфиксом. Или ему подобными.
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

14. "В Apache Traffic Server 3.0.4 устранена критическая уязвимос..."	–1 +/–
Сообщение от Дед АНОН on 27-Мрт-12, 19:32
>А что там костылить под сквидом то? Направление решения - разрешить connect на эти порты (вписать в safe_ports или safe_ssl_ports ?). Что то у меня ничего вразумительного так и не вышло, таймаут соединения и всё. Наверное чё-то с руками у меня не так))) >Не там ищите, http://nginx.org/ru/#mail_proxy_server_features - самое то Интересный вариант. Но опять же для его функционирования необходим локальный SMTP-сервер, а мне нужно просто перенаправлять запросы пользователей по 25 и 110 порту во внешний мир и немного резать им скорость по этим портам(чтоб общий трафик не сильно нагружался в пики прихода больших сообщений. >Сквид для почты называется постфиксом. Или ему подобными. Вот скажи. Зачем поднимать Postfix ради того что бы пересылать почту с пары машин в сети?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	15. "В Apache Traffic Server 3.0.4 устранена критическая уязвимос..."	+/–
	Сообщение от антоним on 27-Мрт-12, 20:34
	> Что то у меня ничего вразумительного так и не вышло, таймаут соединения и всё. Наверное > чё-то с руками у меня не так))) Так клиенту тоже надо объяснить что ему теперь через проксю надо ломиться. А большинство невэб клиентов этого не умеют. Например, я пускаю ssh через corkscrew на сквид и оттуда в мир. Наверно это не проще чем нат поднимать.
	Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

16. "В Apache Traffic Server 3.0.4 устранена критическая уязвимос..."	–1 +/–
Сообщение от Дед АНОН on 27-Мрт-12, 21:26
>Так клиенту тоже надо объяснить что ему теперь через проксю надо ломиться. А большинство невэб клиентов этого не умеют. Например, я пускаю ssh через corkscrew на сквид и оттуда в мир. Наверно это не проще чем нат поднимать. Сомневаюсь что клиенту есть какое то дело как оно работает до тех пор пока оно работает. Я не разу не слышал вопрос "А как у нас почта отправляется, напрямую или через прокси?". Моё дело всё настроить так чтоб клиент вопросов не задавал, просто работал беззаботно и всё.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	17. "В Apache Traffic Server 3.0.4 устранена критическая уязвимос..."	+/–
	Сообщение от антоним on 27-Мрт-12, 21:46
	Под клиентом подразумевается софт, который должен работать через проксю. Речь про то что не каждый софт такое позволяет.
	Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема