Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Новая версия nginx 1.27.0 c устранением 4 уязвимостей в реализации HTTP/3"	+/–
Сообщение от opennews (??), 29-Май-24, 19:58
Представлен первый выпуск новой основной ветки nginx 1.27.0, в рамках которой будет продолжено развитие новых возможностей. Одновременно сформирован выпуск nginx 1.26.1, относящийся к параллельно поддерживаемой стабильной ветке, в которую  вносятся только изменения, связанные с устранением серьёзных ошибок и уязвимостей. В следующем году на базе основной ветки 1.27.x будет сформирована стабильная ветка 1.28. Код проекта написан на языке Си и распространяется под лицензией BSD... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=61269
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 29-Май-24, 19:58	+4 +/–
Опять CVE для дев ветки? Дунин опять уйдёт из F5?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #22

2. Сообщение от morphe (?), 29-Май-24, 20:52	+4 +/–
Тем временем реализация на Rust модуля quic под nginx от cloudflare давно работает в проде, и не имеет известных уязвимостей
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #3, #4, #5, #15, #25, #43

3. Сообщение от Аноним (3), 29-Май-24, 20:54	–1 +/–
> работает в проде > не имеет известных уязвимостей Это ещё не аргумент в пользу модных язычков.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #38

4. Сообщение от Аноним (4), 29-Май-24, 21:17	+/–
>не имеет известных уязвимостей Ну ничего, зато неизвестные на месте, учитывая количество unsafe блоков в ржавых проектах.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #18

5. Сообщение от Аноним (5), 29-Май-24, 21:30	–1 +/–
Тем временем клоунфларе с помощью ресурсов типа ценсис и днсдампстер обходится с вероятностью процентов 80.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #8

7. Сообщение от Аноним (8), 29-Май-24, 22:30	–1 +/–
> налажена сборка в NetBSD Нужность примерно такая же, как и у самого форка. Как нельзя лучше иллюстрирует мой тезис о том, что «без корпоративного вмешательства» программисты будут бесконечно оптимизировать тулчейн.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #13, #27

8. Сообщение от Аноним (8), 29-Май-24, 22:38	–1 +/–
> с вероятностью процентов 80 Показывай, как рассчитывал. И заодно расскажи, как тебе эти погремушки помогают пробить фаерволл и mTLS. Обожаю опеннетных кекспертов, от кого ещё узнаешь о чём пацаны за гаражами болтают?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #17, #35

13. Сообщение от Аноним (13), 29-Май-24, 22:47	+1 +/–
И чего? Есть в ТЗ поддержка нетбсд, программист взял тикет, закрыл. Причина тряски? Или ты не знаешь как работают команды людей?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #20

15. Сообщение от Аноним (15), 29-Май-24, 22:57	–1 +/–
ну всё просто. любая программа имеет уязвимости особенно новая. если они не найдены то она просто никому не нужна
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

16. Сообщение от Аноним (15), 29-Май-24, 23:22	+1 +/–
почему бы не стандартизировать интерфейс для подобных протоколов и потом браузер сначала скачивает с сервера и кеширует код для протокола запускает его и дальше работает как задумано.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #50

17. Сообщение от Аноним (3), 29-Май-24, 23:49	+/–
Если злоумышленники знают ваш внешний адрес, на который ходит cloudflare, они могут легко залить вас трафиком, и никакой фаервол вам не поможет. И cloudflare сможет только показать, что конечный сервер недоступен.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #23

18. Сообщение от Аноним (3), 29-Май-24, 23:50	–2 +/–
Ну найдите хоть одну :) Код на сишке — это 100% unsafe. Код на rust с одним unsafe на 1000 строк — 0.1% unsafe.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

19. Сообщение от Аноним (-), 30-Май-24, 00:18    Скрыто ботом-модератором	–1 +/–
уязвимости вызваны: > обращением к уже освобождённой памяти (use-after-free), > неверным выделением памяти под массив, > разыменованием нулевого указателя > отсутствием должной проверки размера помещаемых в буфер данных. Охохо! Классическое дыряшечное бинго! Никогда такого не было, и вот опять!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #34

20. Сообщение от Аноним (8), 30-Май-24, 00:25	+1 +/–
> Есть в ТЗ поддержка нетбсд > Или ты не знаешь как работают команды людей? Как команды работают я знаю очень хорошо, и потому с уверенностью могу сказать, что в ТЗ поддержки NetBSD нет и быть не может, потому что не существует валидного бизнес-кейса для поддержки маргинальных ОС.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

21. Сообщение от Анонин (-), 30-Май-24, 00:29	+/–
Фиксы как всегда шикарны)) + qb->last_chain = NULL; Ну забыли занулить, бывает, дело то житейское) - elts = ngx_alloc(max * sizeof(void *), c->log); + elts = ngx_alloc((max + 1) * sizeof(void *), c->log); Не умеем считать размер выделяемой памяти начиная с 1972 года... + st->value.data = (u_char *) ""; Зачем инициализировать данные, если можно про это забыть. Дважды! + if ((size_t) (end - p) < len) Проверка входных данных - это особое тайное знание. О котором большинство сишников даже не догадывается... Отдельное спасибо автору новости, который не поленился привести ссылки на их гит для каждой из уязвимостей.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #24, #28, #29, #31

22. Сообщение от Аноним (-), 30-Май-24, 00:33	+1 +/–
> Опять CVE для дев ветки? > Дунин опять уйдёт из F5? Конечно! Но только после того, как заберет патчи в свою Свободную™ версию
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

23. Сообщение от Аноним (8), 30-Май-24, 01:47	+/–
> Если злоумышленники знают > Если А если не знают? Да и откуда им его узнать, если эндпоинт ником кроме CF не отвечает?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

24. Сообщение от Rev (?), 30-Май-24, 02:39	–1 +/–
Да, такое впечатление, что писано жопой. Или студентами. А сколько вою на болотах стоит на тему "скиллы всё решают, раст не нужен"!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #32, #40

25. Сообщение от Аноним (25), 30-Май-24, 03:26	+/–
О, а можно ссылку на то как это завести.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

27. Сообщение от Аноним (27), 30-Май-24, 03:46	+1 +/–
А какое ваше дело, чем человек занимается в свое свободное время? Он вам что-то должен? Долговая расписка есть?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #54

28. Сообщение от Аноним (27), 30-Май-24, 03:50	+1 +/–
Это модуль в стадии разработки. На сайте английским (да и русским) по белому написано, что для продакшена не готово. Ну, Сысоев с Дуниным, конечно, лучше писали и с первого раза, но они вообще среди лучших. Но и тут нормально, до релиза нашли и исправили, всё хорошо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #55

29. Сообщение от Аноним (29), 30-Май-24, 05:42	+/–
Так надо было на С++ писать сразу. Raii и всё.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #41

31. Сообщение от Совершенно другой аноним (?), 30-Май-24, 09:12	+1 +/–
> + st->value.data = (u_char *) ""; > Зачем инициализировать данные, если можно про это забыть. Дважды! Ну, Вы вот тоже не смогли до 3-рёх посчитать...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

32. Сообщение от Tron is Whistling (?), 30-Май-24, 09:23	+1 +/–
Да он и не нужен, независимо от прочих факторов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

34. Сообщение от Ann (??), 30-Май-24, 09:48	+/–
Напиши уже себе уже аналог на rust и пользуйся им на какой-нибудь redox. Зачем тебе новость о программе на сях?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #37, #42

35. Сообщение от Аноним (5), 30-Май-24, 10:20	+/–
Исключительно ежедневная практика и статистика. Судя по тому, что ты написал ты в принципе не понимаешь как WAF такого типа работает и что за ценсис с днсдампстером. Так что теоретизируй на кафедре с другими всезнайками дальше.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #53

37. Сообщение от Аноним (-), 30-Май-24, 10:38	–1 +/–
> Зачем тебе новость о программе на сях? Это не просто новость о программе на сях. Это новость об очередной порции классических сишных дырений. Причем настолько классических, что для некоторых завели отдельные категории cve))) Но ты почему-то начал приплетать раст. Почему?) > Напиши уже себе уже аналог на rust Уже написан клаудфарей. И редокс тебе не нужен - оно прекрасно работает на линуксе. Просто не весь народ о нем знает. Им нужно просто об этом рассказать. А где это лучше делать как не в новости про то, что использование сишных программ может привести к "аварийному завершению рабочего процесса nginx" как минимум, и "потенциальной возможности выполнения кода атакующего" как максимум. Видя непрекращающийся поток сишных уязвимостей и тотальную необучаемость сишников, люди чуть поумнеют и начнут стараться обходить сишный софт стороной при наличии аналогов. Разве это не прекрасно?))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34 Ответы: #44

38. Сообщение от Аноним (-), 30-Май-24, 11:04	+2 +/–
> Это ещё не аргумент в пользу модных язычков. Конечно! Нужно использовать древнейший копролитный язык, и проект на нем, в котором точно есть известные уязвимости! Их же можно будет искать и исправлять десятилетиями. Заодно без работы не останутся)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

40. Сообщение от Аноним (44), 30-Май-24, 11:50	+/–
Только все нормальные веб серверы написаны на Go. Раст отстал в этом плане на миллион лет от нормальных языков.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

41. Сообщение от Аноним (44), 30-Май-24, 11:51	+/–
И как ты потом будешь мериться синтетикой которая будет показывать дико плохие результаты?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

42. Сообщение от Аноним (44), 30-Май-24, 11:51	+/–
Самоутвердиться же своих достижений у него нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

43. Сообщение от Аноним (-), 30-Май-24, 11:52	–1 +/–
> Тем временем реализация на Rust модуля quic под nginx от cloudflare давно > работает в проде, и не имеет известных уязвимостей Так новостей про "просто работает" много не насочиняешь) Разве что "вышла новая версия", да и в комментах будет уныло. А вот новость про типичную дырку "шел по буферу, считать не научился, вышел за пределы, все сломал" соберет кучу комментов. А веселые обсуждения, это хорошо)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

44. Сообщение от Аноним (44), 30-Май-24, 11:53	+/–
Никто не видел твой клаудфлер. А вот на Go написаны настоящие современные веб сервера которые реально можно пощупать и даже код почитать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37 Ответы: #49

49. Сообщение от Аноним (-), 30-Май-24, 14:49	+/–
> Никто не видел твой клаудфлер. А вот на Go написаны настоящие современные > веб сервера которые реально можно пощупать и даже код почитать. Печально что гошники настолько недалекие, что не могут найти проект на гитхабе. На, держи github.com/cloudflare/pingora Можешь и пощупать, и код почитать! С другой стороны это не удивительно, сам один из создателей го писал, что язык создавался... ну, скажем так, не для выдающихся разработчиков))), а чтобы каждый тупенький мог на нем писать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

50. Сообщение от Аноним (50), 30-Май-24, 16:00	+/–
Стандартизация подразумевает множество реализации. А догорняк – реализации тех, кого надо и с кем надо договориться. Потом у них все возьмут и будут сверяться как с эталоном. И так много западных технологий работают.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

53. Сообщение от Аноним (8), 30-Май-24, 19:00	+1 +/–
> Исключительно ежедневная практика и статистика. Стало быть точно пацаны за гаражами рассказывали. Ни ценсис, ни днсдампер тебе никак не помогут найти бэкэнд за «WAF такого типа», при условии, что всё настроено по BCP. Я это на практике знаю, так как всех своих клиентов первым делом подключаю к публичному интернету через CF, специально чтобы школьники с ценсисом в логах не шумели. Но даже если я перечислю все подсети, тебе это всё равно никак не поможет. Трафик тупо заблэкхолится на границе AS наших аплинков.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

54. Сообщение от Аноним (8), 30-Май-24, 19:02	+/–
Так это всё-таки хобби-проект, как и предполагалось изначально. А чего тогда Дунин пыжился, мол, ещё неизвестно кто форк? Цену себе набивал?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27

55. Сообщение от Аноним (8), 01-Июн-24, 17:50	+/–
Сысоев и Дунин, возможно, хорошие кодеры, но время показало в очередной раз, что даже самые лучшие кодеры в лучшем случае посредственные программисты, и совсем никакие архитекторы. Подробности о плохом дизайне Nginx можно почитать да хоть у тех же CloudFlare, которые в отличие от местных анонимов с вэпээсочкой за два евро в месяц использовали Nginx в проде в хвост и в гриву.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема