Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Выпуски nginx 1.21.0 и nginx 1.20.1 с устранением уязвимости"	+/–
Сообщение от opennews (??), 25-Май-21, 22:54
Представлен первый выпуск новой основной ветки nginx 1.21.0, в рамках которой будет продолжено развитие новых возможностей. Одновременно подготовлен корректирующий выпуск  параллельно поддерживаемой стабильной ветки 1.20.1, в которой вносятся только изменения, связанные с устранением серьёзных ошибок и уязвимостей. В следующем году на базе основной ветки 1.21.x будет сформирована стабильная ветка 1.22... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=55208
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по времени | RSS]

1. "Выпуски nginx 1.21.0 и nginx 1.20.1 с устранением уязвимости"	–12 +/–
Сообщение от Аноним (1), 25-Май-21, 22:54
Зачем потом устранят уязвимости, если можно сразу писать код без них? На той же Аде, например.
Ответить | Правка | Наверх | Cообщить модератору

	2. "Выпуски nginx 1.21.0 и nginx 1.20.1 с устранением уязвимости"	–4 +/–
	Сообщение от Аноним (2), 25-Май-21, 23:10
	В начале 2000-ых фанатели от C
	Ответить | Правка | Наверх | Cообщить модератору

	8. "Выпуски nginx 1.21.0 и nginx 1.20.1 с устранением уязвимости"	+1 +/–
	Сообщение от Аноним (8), 26-Май-21, 06:27
	и правильно делали
	Ответить | Правка | Наверх | Cообщить модератору

	16. "Выпуски nginx 1.21.0 и nginx 1.20.1 с устранением уязвимости"	–1 +/–
	Сообщение от Аноним (2), 26-Май-21, 09:12
	Ага, а сейчас пожинаем плоды в виде кучи уязвимостей и прочих heartbleed
	Ответить | Правка | Наверх | Cообщить модератору

	25. "Выпуски nginx 1.21.0 и nginx 1.20.1 с устранением уязвимости"	+2 +/–
	Сообщение от BorichL (?), 26-Май-21, 14:02
	По недавно вскрывшимся фактам выяснилось ещё одно доказательство, что не инструмент виноват, а тот, кто не научился его использовать.
	Ответить | Правка | Наверх | Cообщить модератору

	27. "Выпуски nginx 1.21.0 и nginx 1.20.1 с устранением уязвимости"	–1 +/–
	Сообщение от Michael Shigorin (ok), 26-Май-21, 16:03
	Думаете сломать ему слепую веру в серебряные пули?..
	Ответить | Правка | Наверх | Cообщить модератору

	28. "Выпуски nginx 1.21.0 и nginx 1.20.1 с устранением уязвимости"	+/–
	Сообщение от BorichL (?), 26-Май-21, 16:08
	> Думаете сломать ему слепую веру в серебряные пули?..
	Ответить | Правка | Наверх | Cообщить модератору

	29. "Выпуски nginx 1.21.0 и nginx 1.20.1 с устранением уязвимости"	+2 +/–
	Сообщение от BorichL (?), 26-Май-21, 16:09
	> Думаете сломать ему слепую веру в серебряные пули?.. Не, хочу вбить в него осиновый кол!
	Ответить | Правка | К родителю #27 | Наверх | Cообщить модератору

	4. "Выпуски nginx 1.21.0 и nginx 1.20.1 с устранением уязвимости"	+5 +/–
	Сообщение от НяшМяш (ok), 26-Май-21, 00:09
	Почему ты упустил такую возможность создать свой аналог на Аде?
	Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

	6. "Выпуски nginx 1.21.0 и nginx 1.20.1 с устранением уязвимости"	+1 +/–
	Сообщение от gogo (?), 26-Май-21, 01:53
	На Бейсике тоже можно. Если GOTO не использовать.
	Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

	19. "Выпуски nginx 1.21.0 и nginx 1.20.1 с устранением уязвимости"	+3 +/–
	Сообщение от Аноним (-), 26-Май-21, 10:28
	GOTO есть даже в C. А не использовать его нельзя. Это как jmp в ассемблере. Просто кому то не понравилось, вот он и сказал что использование GOTO дурной стиль програмирования.
	Ответить | Правка | Наверх | Cообщить модератору

	10. "Выпуски nginx 1.21.0 и nginx 1.20.1 с устранением уязвимости"	+/–
	Сообщение от Корец (?), 26-Май-21, 07:47
	>На той же Аде, например. Да хоть на расте, но это не поможет - не имеет значения, на каком языке написана сишная дырень.
	Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

	17. "Выпуски nginx 1.21.0 и nginx 1.20.1 с устранением уязвимости"	+/–
	Сообщение от Аноним (2), 26-Май-21, 09:13
	На Расте хотя бы сишные дырени могут быть только при взаимодействием с си, что можно максимально минимизировать
	Ответить | Правка | Наверх | Cообщить модератору

	24. "Выпуски nginx 1.21.0 и nginx 1.20.1 с устранением уязвимости"	+3 +/–
	Сообщение от Онаним (?), 26-Май-21, 14:02
	Ты уже переписал нгинх на хрусте? Нет? Перепишешь - приходи, расскажешь как там с дыренями.
	Ответить | Правка | Наверх | Cообщить модератору

3. "Выпуски nginx 1.21.0 и nginx 1.20.1 с устранением уязвимости"	+/–
Сообщение от Онаним (?), 25-Май-21, 23:17
- Vulnerable: 0.6.18-1.20.0 Это точно была уязвимость?
Ответить | Правка | Наверх | Cообщить модератору

	5. "Выпуски nginx 1.21.0 и nginx 1.20.1 с устранением уязвимости"	+5 +/–
	Сообщение от Аноним (5), 26-Май-21, 00:46
	Судя по коду патча, да. Но найти в дикой природе возможность эксплуатировать уязвимость будет крайне непросто. Для типичной конфигурации resolver не нужен. Если resolver и включен, то обычно указывает во внутреннюю сеть. А если даже кому-то пришло в голову использовать nginx как обычный (не реверсный) прокси-сервер, это ещё надо догадаться, откуда он там резолвит, и найти способ подменить трафик. В целом, взломать таким образом можно только инфраструктуру предприятия изнутри - скажем, имея доступ ко внутренней сети, зная, какая там конфигурация, но не имея непосредственного доступа к серверу. Потому никто и не замечал.
	Ответить | Правка | Наверх | Cообщить модератору

	11. "Выпуски nginx 1.21.0 и nginx 1.20.1 с устранением уязвимости"	+/–
	Сообщение от Онаним (?), 26-Май-21, 08:00
	Больше похоже на талантливо припрятанный бэкдор.
	Ответить | Правка | Наверх | Cообщить модератору

	22. "Выпуски nginx 1.21.0 и nginx 1.20.1 с устранением уязвимости"	+/–
	Сообщение от Аноним (22), 26-Май-21, 11:50
	Сделать бэкдор, выглядящий как естественным образом написанный код, и при том прятать бэкдор в функциональности, которой почти никто не пользуется, и для эксплуатации которой надо вмешиваться в трафик? Притом что есть парсер http, в котором куча хардкорных оптимизаций, затрудняющих чтение кода, и который доступен для эксплуатации простой отправкой запроса? В такое сочетание гениальности и идиотизма сложно поверить.
	Ответить | Правка | Наверх | Cообщить модератору

	23. "Выпуски nginx 1.21.0 и nginx 1.20.1 с устранением уязвимости"	+/–
	Сообщение от Онаним (?), 26-Май-21, 14:00
	Естественно всё в рамках конспирологии ) Парсер HTTP - это первое, что будут высматривать вдоль и поперёк все аналитики от ИБ. А вот в резолвер, который "почти не используется", заглянут уже не все. Кроме того место удобное - он используется в частности теми, кто знает про OCSP, потенциально приоритет таких целей как раз выше.
	Ответить | Правка | Наверх | Cообщить модератору

	42. "Выпуски nginx 1.21.0 и nginx 1.20.1 с устранением уязвимости"	+/–
	Сообщение от Аноним (42), 27-Май-21, 20:15
	Ну, знать про OCSP, и при этом не поднять внутренний резолвер - это из разряда экспертов с опеннета, кому они нужны их ломать :)
	Ответить | Правка | Наверх | Cообщить модератору

	43. "Выпуски nginx 1.21.0 и nginx 1.20.1 с устранением уязвимости"	+1 +/–
	Сообщение от Онаним (?), 28-Май-21, 09:11
	> Ну, знать про OCSP, и при этом не поднять внутренний резолвер Адепты кубернетесов с докерочками умудряются целые СУБД голым задом в сеть выставить, а вы от них внутреннего резолвера ждёте. На амазончик свой CI/CD как кот накатили, 8.8.8.8 работает, ПРЭКРАСНО!
	Ответить | Правка | Наверх | Cообщить модератору

7. "Выпуски nginx 1.21.0 и nginx 1.20.1 с устранением уязвимости"	+/–
Сообщение от Ilya Indigo (ok), 26-Май-21, 05:34
ssl_stapling on; ssl_stapling_verify on; resolver 1.1.1.1 8.8.8.8 valid=300s ipv6=off; Резолвер в nginx нужен для ssl_stapling, иначе в логах куча ошибок. Только я сомневаюсь что кто-то перехватит трафик от клодфлеера или гугла, кроме их самих.
Ответить | Правка | Наверх | Cообщить модератору

	15. "Выпуски nginx 1.21.0 и nginx 1.20.1 с устранением уязвимости"	–5 +/–
	Сообщение от Онаним (?), 26-Май-21, 09:03
	Вы слишком доверяете своему ISP. Особенно если вы в скрепной живёте, где на пути трафика уже стоят железки для анализа и модификации такового априори.
	Ответить | Правка | Наверх | Cообщить модератору

	21. "Выпуски nginx 1.21.0 и nginx 1.20.1 с устранением уязвимости"	+/–
	Сообщение от Аноним (21), 26-Май-21, 10:51
	Блокировка по DNS - детский сад. Единственное, что там стоит проверять - не используют ли твоих клиентов в для DNS reflection. Поэтому имеет смысл заворачивать к себе все, что идет НЕ на well-known резолверы.
	Ответить | Правка | Наверх | Cообщить модератору

	30. "Выпуски nginx 1.21.0 и nginx 1.20.1 с устранением уязвимости"	–4 +/–
	Сообщение от нах.. (?), 26-Май-21, 16:25
	пока что в наличии таких железок признался горе-оператор в деревне где-то в неближнем запоребрике. А в скрепной, увы, нет таких железок. И все попытки порулить оканчиваются фейлом. Не деревенские, понимаешь, масштабы то...
	Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

	35. "Выпуски nginx 1.21.0 и nginx 1.20.1 с устранением уязвимости"	–1 +/–
	Сообщение от Онаним (?), 26-Май-21, 23:26
	В скрепной если не скат, то редуктор или аналогичная хрень. Которая вполне себе и слушает, и вмешивается. Причём у каждого. Потому что позор и ревизор.
	Ответить | Правка | Наверх | Cообщить модератору

	36. "Выпуски nginx 1.21.0 и nginx 1.20.1 с устранением уязвимости"	+/–
	Сообщение от Аноним (21), 27-Май-21, 00:07
	> Которая вполне себе и слушает, и вмешивается. Только DNS здесь не при чем.
	Ответить | Правка | Наверх | Cообщить модератору

	37. "Выпуски nginx 1.21.0 и nginx 1.20.1 с устранением уязвимости"	+/–
	Сообщение от Онаним (?), 27-Май-21, 07:47
	Абсолютно при чём - режимы прослушивания DNS и модификации DNS-ответов вполне себе есть.
	Ответить | Правка | Наверх | Cообщить модератору

	41. "Выпуски nginx 1.21.0 и nginx 1.20.1 с устранением уязвимости"	+/–
	Сообщение от Аноним (21), 27-Май-21, 15:13
	Только нафига? Выполнению нормативных актов они никак не способствуют.
	Ответить | Правка | Наверх | Cообщить модератору

	38. "Выпуски nginx 1.21.0 и nginx 1.20.1 с устранением уязвимости"	–4 +/–
	Сообщение от нах.. (?), 27-Май-21, 11:04
	> В скрепной если не скат, то редуктор или аналогичная хрень. ну да, тебе иззапоребрика-то виднее. > Которая вполне себе и слушает, и вмешивается. > Причём у каждого. ни разу. У каждого - только железки СОРМ, которые нужны для лицензии. Ни слушать, сами по себе, ни тем более вмешиваться неспособны. Хорошо если хотя бы вообще работают как должны, а не как на от-сь сделано. А экскременты ростелекома каждый раз заканчиваются эпикфейлом, а DC у лягушатников горят недостаточно часто чтобы всегда была на готове отмазка "это не мы" и "ихтамнет".
	Ответить | Правка | К родителю #35 | Наверх | Cообщить модератору

	39. "Выпуски nginx 1.21.0 и nginx 1.20.1 с устранением уязвимости"	+/–
	Сообщение от Онаним (?), 27-Май-21, 13:41
	Так было, пока "ревизор" не появился. Сейчас реально у каждого. Ну или у апстрима, что едино.
	Ответить | Правка | Наверх | Cообщить модератору

	40. "Выпуски nginx 1.21.0 и nginx 1.20.1 с устранением уязвимости"	–1 +/–
	Сообщение от нах.. (?), 27-Май-21, 14:45
	> Так было, пока "ревизор" не появился. Ревизор не перехватывает траффик. Он косплеит пользовательское подключение. Причем на уровне "мамой клянус - пользовательское". (А на деле у этого куска г-на из переделанного длинка единственный вариант - ethernet. Как бы я мамой не клялся, нету у меня для него гармошки.) И даже при этом - ничем не отличается от живого пользователя из Калининграда, накатавшего на  нас жалобу что мы плохо защищаем его от интернета.
	Ответить | Правка | Наверх | Cообщить модератору

	44. "Выпуски nginx 1.21.0 и nginx 1.20.1 с устранением уязвимости"	+/–
	Сообщение от Онаним (?), 28-Май-21, 09:13
	Да суть не в этом. Пока этого овна не было - косплеили наличие фильтров. Когда начали массово расставлять это гугно - косплеить уже не выходит, доморощенные домофильтры полностью не фильтруют. В итоге все расставили более-менее полноценные DPI - о чём изначально и речь.
	Ответить | Правка | Наверх | Cообщить модератору

	45. "Выпуски nginx 1.21.0 и nginx 1.20.1 с устранением уязвимости"	–1 +/–
	Сообщение от нах.. (?), 28-Май-21, 10:31
	> Да суть не в этом. Пока этого овна не было - косплеили наличие фильтров. Сейчас кал-ининградцкий юзер еще и на тебя жалобу в роспозор подаст, что ты его сравнил с г-ном. > В итоге все расставили более-менее полноценные DPI - о чём изначально и речь. подключили к ним ровно роспозоровскую коробочку на положенные ей по спецификации 10 мегабит, и счастливы - ТАКОЙ dpi им по карману, дешевые железки для недоофисов справляются. Очень удобно получилось. Многим по другому и не подключить - это тплинк, грошовый недороутер, с взгроможденной на него (всего ж за три ляма!) кастрированной openwrt. Никаких протоколов отличных от  голого ethernet не умеет. Поэтому всякие dslщики и 4g были очень рады подарочку, впрочем, оно и pppoe не могет, но тех не жалко, нехрен херней страдать. А реальный траффик - совсем другая история, его реально много, лопнет твой dpi, и забрызгает окружающих. В основном у всех нынче принято ронять на пол все, что не парсится как sni (исходники на шитхабе найдешь). Есть еще отдельные отщепенцы, у которых нет клиентов в Калининграде, и которые пока еще делают наоборот, но с годами и такие поумнеют.
	Ответить | Правка | Наверх | Cообщить модератору

	47. "Выпуски nginx 1.21.0 и nginx 1.20.1 с устранением уязвимости"	+/–
	Сообщение от Онаним (?), 28-Май-21, 13:54
	В славном городе поребриков например нет ни одного мало-мальски крупного оператора, чтобы не фильтровал. В *нях ситуация может отличаться конечно.
	Ответить | Правка | Наверх | Cообщить модератору

	18. "Выпуски nginx 1.21.0 и nginx 1.20.1 с устранением уязвимости"	+/–
	Сообщение от Аноним (18), 26-Май-21, 10:22
	>resolver 1.1.1.1 8.8.8.8 Популярнее этих адресов надо ещё найти. Думаю данные адреса когда надо куда надо заворачивают при первой необходимости.
	Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

	46. "Выпуски nginx 1.21.0 и nginx 1.20.1 с устранением уязвимости"	+/–
	Сообщение от твой провайдер (?), 28-Май-21, 11:34
	Не ссы, мы их оба подняли у себя на своем dns. Поэтому у других васянов прислать тебе поддельный ответ не получится, мы его, разумеется, еще на бордере дропнем как явно непрошенный. P.S. мы действительно так делали, лет десять тому, до всеобщего щастья с dohлым номером. Но присылать тебе поддельные пакеты не входило в наши задачи. Мы вообще-то на деньги пользователей живем, и стараемся за эти деньги делать для них, а не от них.
	Ответить | Правка | Наверх | Cообщить модератору

9. Скрыто модератором	–3 +/–
Сообщение от Аноним (9), 26-Май-21, 07:45
Теперь про каждый минорный вупуск ЭНЖИНКСА будут писать новость.
Ответить | Правка | Наверх | Cообщить модератору

	13. Скрыто модератором	+2 +/–
	Сообщение от Аноним (13), 26-Май-21, 08:25
	Да так можно про любой софт писать. Кнопка добавить новость доступна для всех
	Ответить | Правка | Наверх | Cообщить модератору

	33. Скрыто модератором	–1 +/–
	Сообщение от нах.. (?), 26-Май-21, 19:05
	> Да так можно про любой софт писать. Так - можно, но не хочется > Кнопка добавить новость доступна для всех но новость от этого не появляется. Во всяком случае, новости про б.ть ваще п-314ц - не публикуют, проклятая цензура.
	Ответить | Правка | Наверх | Cообщить модератору

49. "Выпуски nginx 1.21.0 и 1.20.1 с устранением уязвимости"	+/–
Сообщение от Какаянахренразница (ok), 23-Окт-22, 17:19
Зачастили как-то релизы nginx-а...
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема