The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимостей в HTTP/2

31.10.2023 11:08

Опубликован релиз легковесного http-сервера lighttpd 1.4.73, пытающегося сочетать высокую производительность, безопасность, соответствие стандартам и гибкость настройки. Lighttpd пригоден для применения на высоконагруженных системах и нацелен на низкое потребление памяти и ресурсов CPU. Код проекта написан на языке Си и распространяется под лицензией BSD.

В новой версии обеспечено определение и отражение в логах DoS-атак класса "Rapid Reset", в которых создаётся большое число сразу сбрасываемых потоков в рамках одного соединения HTTP/2. В mod_h2 внесены изменения для защиты от флуда и ускорен разбор флагов заголовков HTTP/2. При аномально большом числе поступающих запросов реализована отправка ответов "GOAWAY". Добавлен новый MIME-тип для файлов с расширением ".mkv".

  1. Главная ссылка к новости (https://blog.lighttpd.net/arti...)
  2. OpenNews: Выпуск nginx 1.25.3, njs 0.8.2 и NGINX Unit 1.31.1
  3. OpenNews: Опубликована библиотека nghttp3 1.0 с реализацией протокола HTTP/3
  4. OpenNews: Релиз http-сервера Apache 2.4.58 с устранением DoS-уязвимостей в HTTP/2
  5. OpenNews: Уязвимость в протоколе HTTP/2, задействованная в крупнейшей DDoS-атаке
  6. OpenNews: Выпуск http-сервера Lighttpd 1.4.71
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/60023-lighttpd
Ключевые слова: lighttpd, http2
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (26) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, OpenEcho (?), 11:54, 31/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > При аномально большом числе поступающих запросов реализована отправка ответов "GOAWAY"

    Все сразу послушались и пошли нах...

     
     
  • 2.2, ryoken (ok), 12:14, 31/10/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Как-то они не так "F_U" написали :D.
     
     
  • 3.7, Второй из Кукуева (?), 15:17, 31/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    The GOAWAY frame (type=0x7) is used to initiate graceful shutdown of a connection by a server.

    Это штатный ответ в http/2 такой вежливый
    А вот зачем они его посылают это уже вопрос, не уверен, что он тут уместен вообще

     
  • 2.3, fi (ok), 12:18, 31/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Куда им деться? ))))

    а по факту — больше не выделяются ресурсы, атака отбита. На следующей стадии и IP занести в блок лист.

     
     
  • 3.27, Тот_Самый_Анонимус_ (?), 01:25, 02/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >блок лист

    black list, чёртов толераст!

     
  • 2.4, Аноним (4), 13:03, 31/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    зачем вообще посылать ответы? чем-то напоминает ICMP-шный "порт недоступен". Если он недоступен, то вообще не надо отвечать. Если в недоступный порт кто-то ломится, то это явно не админ. Пусть злоумышленник ждет минуту ICMP-ответа, которого никогда не будет.
     
     
  • 3.13, Anm (?), 17:02, 31/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    в ICMP смысл отпал ещё лет двадцать назад.
     
     
  • 4.15, Аноним (15), 18:50, 31/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >в ICMP смысл отпал ещё лет двадцать назад.

    TCP (нормально) не работает без ICMP Fragmentation Needed

     

  • 1.5, Аноним (5), 14:43, 31/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    > lighttpd 1.4.73, пытающегося сочетать [...] безопасность
    > написан на языке Си

    Ясно, понятно...

    https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=lighttpd

     
     
  • 2.14, Аноним (14), 17:08, 31/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Если аналог на Расте не написан, то и уязвимостей в нем ноль.
     

  • 1.8, Аноним (8), 15:26, 31/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Если смотреть на ютуб, то http2 вечно лагает и тормозит, и http3 нормально работает. Раньше правда то же самое было с http1 и http2, 2 при этом работал в хромиуме и 1 в фф, из-за чего создавалось ошибочное впечатление, будто фф хуже работает (на самом деле лучше). Ещё и по времени и количеству запросов большая разница. А теперь, похоже, сайт периодически отключает 3 и 2 очень лагает.
     
     
  • 2.10, YetAnotherOnanym (ok), 16:54, 31/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > http2 вечно лагает и тормозит, и http3 нормально работает

    Потому что так надо. Если хозяин прикажет - http3 начнёт лагать, а http2 будет нормально работать. Или оба будут лагать. Или оба будут нормально работать. Как хозяин решит - так и будет.

     

  • 1.9, Аноним (9), 15:32, 31/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    А пэхэпэ к нему можно привинтить? На (не смейтесь) втором пне пойдет для лёгкого домашнего сервера?
     
     
  • 2.11, Аноним (11), 16:55, 31/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Легко, через fcgi, 5 строчек в конфиге
     
  • 2.16, _kp (ok), 20:34, 31/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А почему нет, если на худосочных однопоточных ARM'ах почти без ОЗУ работает.
     
     
  • 3.17, Аноним (8), 21:08, 31/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Наверно потому, что он ни разу не лайт, и не особо производительный.
     
     
  • 4.24, fuggy (ok), 00:26, 01/11/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Такой не производительный, что его не так давно аж ютуб использовал.
     
  • 3.18, Аноним (18), 21:21, 31/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > на худосочных однопоточных ARM'ах

    О каких речь идёт?

     
     
  • 4.20, _kp (ok), 22:47, 31/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Сейчас оборжутся даже коллекционеры 2х Пентиумов - завалявшийся контроллер на ARM926 c 256 ОЗУ. На нем простенький контроллер освещения для световых лент и датчиков света и температуры под Алису. Веб интерфейс на lighhttpd. ОС - LFS на базе Debian. Начинал на Raspberry делать, но попался готовый контроллер с корпусом, ключами, клемниками, но.. 200Мгц. Как ни странно работает с простой задачей бодро, а вебу претензий и вовсе нет.
     

  • 1.12, Аноним (11), 17:01, 31/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Реализацию HTTP/2 (mod_h2) полностью взяли готовой от LiteSpeed. Вот и поплатились. Нет, чтобы как все нормальные люди использовать libnghttp2
     
  • 1.19, Аноним (19), 22:43, 31/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Я ещё понимаю 15 лет назад в нём был какой-то смысл (ресурсы дорогие, железо дорогое), но сейчас то чего. Нжинкс работает на любом барахле за 5 копеек.
     
     
  • 2.21, Аноним (18), 23:01, 31/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Для разных роутеров, embedded устройств.
     
  • 2.22, Аноним (22), 23:15, 31/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Просто разработку lighttpd и nginx из авторы начинали примерно в одно и то же время, ничего не зная друг о друге. В итоге сначала lighttpd (по причине отсутствующей англоязычной документации у nginx) взлетел лучше, но потом появились англоязычные (и китаеязычные, хех) энтузиасты nginx, которые сделали вики и даже написали гайд по разработке модулей, и nginx быстро всех обогнал.

    По ресурсоемкости они примерно одинаковы, но nginx выигрывает в гибкости конфигурации.

     
     
  • 3.23, Аноним (18), 23:51, 31/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > nginx выигрывает в гибкости конфигурации

    Что в большинстве случаев overengineering и только усложняет настройку

     
  • 3.25, _ (??), 05:42, 01/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ну ЫшшО лайти CGI умеет а nginx - нет. Тогда это роляло. Сейчас понятное дело - нет :)
     
  • 2.26, ivan_erohin (?), 09:46, 01/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    я хотел порекомендовать анону выше по треду с ПХП и пентиум-3 nginx unit,
    но у него нет 32bit бинарных сборок современных версий (только 64bit).
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру