форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Релиз http-сервера lighttpd 1.4.32 с устранением уязвимости"	+/–
Сообщение от opennews (??) on 23-Ноя-12, 13:16
Вышел (http://www.lighttpd.net/2012/11/21/1-4-32/) релиз легковесного http-сервера lighttpd 1.4.32. Релиз носит корректирующий характер и содержит 13 исправлений, среди которых устранение уязвимости (http://download.lighttpd.net/lighttpd/security/lighttpd_sa_2...), которая может привести к инициированию отказа в обслуживании удалённым злоумышленником. Уязвимость вызвана ошибкой в коде парсинга HTTP-заголовков и приводит к зависанию процесса из-за бесконечного зацикливания при обработке запроса с определённым образом оформленным заголовком  "Connection". Из не связанных с безопасностью изменений можно отметить: -  Обеспечение поддержки метода PATCH; -  Проведение чистки кода с устранением проблем, выявленных в процессе использования clang/sparse; -  Устранение утечки памяти в коде инициализации сервера; -  Улучшение определения кодирования контента в форматах x-gzip и x-bzip2; -  В mod_extforward обеспечена запись в лог с признаком debug.log-request-handling адресов недоверительных прокси. URL: http://www.lighttpd.net/2012/11/21/1-4-32/ Новость: https://www.opennet.ru/opennews/art.shtml?num=35409
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Релиз http-сервера lighttpd 1.4.32 с устранением уязвимости"	+/–
Сообщение от Стас (??) on 23-Ноя-12, 13:16
Этим еще кто-то пользуется, когда есть nginx?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	4. "Релиз http-сервера lighttpd 1.4.32 с устранением уязвимости"	+1 +/–
	Сообщение от Аноним (??) on 23-Ноя-12, 14:26
	Вполне нормальный сервак. Им пользуется ряд нагруженных сайтов. Яндекс тот же. А нжинкс тоже неплохая штука, но вот что-что а дырки в нем находят чаще, пожалуй.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	5. "Релиз http-сервера lighttpd 1.4.32 с устранением уязвимости"	+4 +/–
	Сообщение от Xasd (ok) on 23-Ноя-12, 14:44
	> что-что а дырки в нем находят чаще, пожалуй. находят дырки -- это плюс! (а минус был бы, если дырки там не находили бы. то есть если бы дырки там так и оставались бы не найденными :)) однако Lighttpd помоему более функционально навороченный чем Nginx.
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	7. "Релиз http-сервера lighttpd 1.4.32 с устранением уязвимости"	–1 +/–
	Сообщение от Аноним (??) on 23-Ноя-12, 19:53
	> находят дырки -- это плюс! Кроме случая когда их нашли а вы не пропатчились :) > однако Lighttpd помоему более функционально навороченный чем Nginx. Спорный вопрос. Хотя webdav у него получше. Зато нжинкс много в чем еще в последнее время прокачался и стал довольно разлапистым. А еще у него есть прикольный кэш (можно динамику в статику закешировать). И он не страдает полной буфферизацией ответа бэкэнда. Грубо говоря, если бэкэнд выплюнет iso-sized файл, лайти выжрет прорву памяти на его буферизацию. Нжинкс в такой ситуации себя ведет куда скромнее.
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	12. "Релиз http-сервера lighttpd 1.4.32 с устранением уязвимости"	+/–
	Сообщение от www2 (??) on 24-Ноя-12, 17:22
	Зачем бэкенду выдавать такие большие файлы? Ну ладно, уговорили, если мне понадобиться это делать, обязательно воспользуюсь nginx.
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	15. "Релиз http-сервера lighttpd 1.4.32 с устранением уязвимости"	+/–
	Сообщение от Аноним (??) on 26-Ноя-12, 15:00
	> Зачем бэкенду выдавать такие большие файлы? Как правило - натурально не требуется. Но во первых, бывают одуревшие скрипты. Во вторых, кому-то может и понадобиться, случаи бывают разные. > Ну ладно, уговорили, если мне понадобиться это делать, обязательно воспользуюсь nginx. Ну и правильно. Лайти неплохая штука. С указанным тупняком дизайна вполне можно жить. Ни разу не фатальный недостаток. Так, мелкая неприятная особенность, не более.
	Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

	6. "Релиз http-сервера lighttpd 1.4.32 с устранением уязвимости"	–2 +/–
	Сообщение от mad_fashist (ok) on 23-Ноя-12, 19:32
	Я юзаю и на своей машине для разработки и местами на рабочих серверах. 1. в lighttpd fastcgi под нагрузку настраивается очень гибко, а как оно настраивается в nginx смело можно сказать что я не знаю (пробовал и мне не понравилось что через какой-то отдельный вечно отваливающийся shell скрипт надо делать, но люди говорят что я просто до конца не разобрался). 2. при использовании в качестве фронтенда к апачу nginx и fastcgi понопенисуальны - везде одни и те же опции, работают оба шикарно.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	8. "Релиз http-сервера lighttpd 1.4.32 с устранением уязвимости"	+/–
	Сообщение от Аноним (??) on 23-Ноя-12, 19:56
	> 1. в lighttpd fastcgi под нагрузку настраивается очень гибко, Ага, особенно если бэкэнд сдуреет и отгрузит большую простынку :) > при использовании в качестве фронтенда к апачу nginx и fastcgi понопенисуальны Вот только у нжинкса есть кэш, которым при наличии мозга можно динамику в статику кэшировать. И выдерживать ломовые нагрузки на абы каком хламе.
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	9. "Релиз http-сервера lighttpd 1.4.32 с устранением уязвимости"	+2 +/–
	Сообщение от mad_fashist (ok) on 23-Ноя-12, 20:18
	> Ага, особенно если бэкэнд сдуреет и отгрузит большую простынку :) Не понимаю фатализма. lighttpd грохнет бэкенд, в лог напишет backend died и запустит вместо него новый, готовый принимать новое соединение. > Вот только у нжинкса есть кэш, которым при наличии мозга можно динамику в статику кэшировать. Здесь ничего не скажу, т.к. не совсем понимаю о чём речь, зачем динамику кешировать, для этого memcached есть. Или это не нужно, или я Вас не так понял, или это действительно нужно и nginx это умеет а lighty - нет, или умеют оба но я об этом не знаю за ненадобностью.
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	10. "Релиз http-сервера lighttpd 1.4.32 с устранением уязвимости"	+/–
	Сообщение от Аноним (??) on 23-Ноя-12, 21:51
	> Не понимаю фатализма. lighttpd грохнет бэкенд, в лог напишет backend died и > запустит вместо него новый, готовый принимать новое соединение. Нет, пардон. Лайти попробует пхнуть в буфер всю простынку. Если она большая - памяти сожрется немеряно. Это такой тупняк дизайна лайти, он для 1.4.х известен всем, включая разработчиков но его починка требует большой переделки архитектуры и никто это делать не хочет. Были планы исправить в 1.5.х или 2.х, но они ... где? Другое дело что если бэкэнд не отгружает большие портянки (обычно так и есть) то это и не проблема как бы. Но иметь в виду это свойство - следует. А нжинкс перекачивает порциями и не выделяет буфер на всю простыню целиком. >> Вот только у нжинкса есть кэш, которым при наличии мозга можно динамику в статику кэшировать. > Здесь ничего не скажу, т.к. не совсем понимаю о чём речь, зачем динамику кешировать, Затем что если страница меняется редко а посетители долбят ее часто - каждый раз ее генерировать без повода - не всегда умно. В этом случае нагрузка от выполнения скрипта может достичь заоблачных высот и при том не иметь никакого смысла: скрипт тысячи раз генерит одно и то же, бессмысленно и беспощадно. Намного лучше если сегенрится 1 раз а потом закешируется и будет лупиться как статика. В таком режиме что угодно выдержит хабраслэшдотчтотамеще эффект. Очень удобный фич. Да, такое применимо с пользой не к любой динамике. Но в некоторых случаях - очень эффективно и даже не ведет к проблемам. Эталонный пример: вики-подобные страницы. Читают часто. Меняют редко. По поводу чего генерация каждому юзеру путем дерга кучи скрииптов не оправдана. > для этого memcached есть. Как бы оперативки обычно сильно меньше чем места на диске и он вообще не о том. > я Вас не так понял, или это действительно нужно и nginx > это умеет а lighty - нет, или умеют оба но я об этом не знаю за ненадобностью. Лайти насколько я знаю подобное не умеет в том виде как это сделано в нжинкс, т.е. с автоматическим сохранением в кэш и возможностью обновления кэшированной версии по каким-то условиям типа воемени жизни в кэше.
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

	11. "Релиз http-сервера lighttpd 1.4.32 с устранением уязвимости"	+/–
	Сообщение от бедный буратино (ok) on 24-Ноя-12, 05:43
	>> Затем что если страница меняется редко а посетители долбят ее часто - каждый раз ее генерировать без повода - не всегда умно. В этом случае нагрузка от выполнения скрипта может достичь заоблачных высот и при том не иметь никакого смысла: скрипт тысячи раз генерит одно и то же, бессмысленно и беспощадно. Намного лучше если сегенрится 1 раз а потом закешируется и будет лупиться как статика. По-моему, это было понятно всём ещё в 2001 году. Об чём речь-то? И в чём тут фича nginx? Только не надо говорить про быдло-php.
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	14. "Релиз http-сервера lighttpd 1.4.32 с устранением уязвимости"	+/–
	Сообщение от Аноним (??) on 26-Ноя-12, 14:56
	> И в чём тут фича nginx? Фича в том что он умеет это делать удобно и настраиваемо. > Только не надо говорить про быдло-php. Это работает для любого ЯП. PHP в этом плане ничем таким не выделяется, так что ваш батхерт относительно оного совершенно не понятен.
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

	13. "Релиз http-сервера lighttpd 1.4.32 с устранением уязвимости"	+/–
	Сообщение от anonymous (??) on 26-Ноя-12, 09:44
	Я пользуюсь. Мне нужно.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

16. "Релиз http-сервера lighttpd 1.4.32 с устранением уязвимости"	+/–
Сообщение от dcc0 on 15-Янв-16, 23:43
Очень, очень нужно сравнение lighttpd и nginx максимум.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема