The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход/выход
слежка
RSS


"Вышел nginx 1.4.1 с устранением уязвимости, приводящей к уда..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Вышел nginx 1.4.1 с устранением уязвимости, приводящей к уда..."  +/
Сообщение от opennews (??), 07-Май-13, 17:57 
Представлен (http://mailman.nginx.org/pipermail/nginx-announce/2013/00011...) внеплановый стабильный выпуск http-сервера nginx 1.4.1 (http://nginx.org/#2013-05-07), а также первый выпуск новой экспериментальной ветки 1.5.0, в которых отмечается устранение уязвимости (http://mailman.nginx.org/pipermail/nginx-announce/2013/00011...) (CVE-2013-2028), которая может привести к перезаписи областей стека рабочего процесса при обработке специально оформленных chunked-запросов. При успешной эксплуатации не исключается возможность исполнения кода злоумышленника на сервере.

Проблема проявляется только в выпусках nginx, начиная с версии 1.3.9. Прошлая стабильная ветка 1.2.x, которая ещё поставляется в большинстве дистрибутивов, уязвимости не подвержена. Для исправления проблемы можно использовать патч (http://nginx.org/download/patch.2013.chunked.txt). В качестве обходного пути защиты от проявления уязвимости, в каждом из блоков server{} можно использовать следующую конструкцию:


<font color="#461b7e">
    if ($http_transfer_encoding ~* chunked) {
        return 444;
    }
</font>


URL: http://mailman.nginx.org/pipermail/nginx-announce/2013/00011...
Новость: https://www.opennet.ru/opennews/art.shtml?num=36875

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Вышел nginx 1.4.1 с устранением уязвимости, приводящей к уда..."  +4 +/
Сообщение от Аноним (-), 07-Май-13, 17:57 
это уже интересно...
Ответить | Правка | Наверх | Cообщить модератору

17. "Вышел nginx 1.4.1 с устранением уязвимости, приводящей к уда..."  –4 +/
Сообщение от Аноним (-), 07-Май-13, 19:06 
Без Игоря не какого контроля качества, быдл0 кодит...
Ответить | Правка | Наверх | Cообщить модератору

37. "Вышел nginx 1.4.1 с устранением уязвимости, приводящей к уда..."  +5 +/
Сообщение от pavlinux (ok), 07-Май-13, 20:56 
● Ошибки так же неисчерпаемы, как и атом.
● Аксиома: В любой программе есть ошибки.
● Закон пропорциональности: Чем более программа необходима, тем больше в ней ошибок.
● Следствие: Ошибок не содержит лишь совершенно ненужная программа.

● Фундаментальный закон теории ошибок. На ошибках учатся.

- Следствие 1. Программист, написавший программу, становится ученым.
- Следствие 2. Чем больше программист делает ошибок, тем быстрее он делается ученым.
- Следствие 3. Крупный ученый-программист никогда не пишет правильные программы.
  Замечание. На то он и ученый.

   Указание начинающему программисту. Если вы с первого раза сумели
написать программу, в которой транслятор не обнаружил ни одной
ошибки, сообщите об этом системному программисту. Он исправит
ошибки в трансляторе.

● Закон необходимости ошибок. Программист может обнаружить ошибку
только в чужой программе.
  - Следствие. Ошибке не все равно, кто ее обнаружит.

  Совет начинающему программисту. Никогда не исправляйте найденные
ошибки, ибо это повлечет за собой появление неизвестного числа
не найденных. Лучше опишите их в сопроводительной документации как
особенность программы.

Ошибки могут вызывать друг друга и сами себя (рекурсивность ошибок).

Ошибки допускают многократное вложение друг в друга. Две одинаковые
вложенные ошибки называются четной ошибкой и ошибкой не являются.

● Свойство четности ошибок. Если написанная программа сработала
правильно, то это значит, что во время  ее  работы  выполнилось
четное число ошибок или программист не понял задание.

● Языковый редактор (IDE), призванный уберечь программиста от
синтаксических ошибок, позволяет вносить в программу весьма
хитроумные ошибки, которые не удается обнаружить ни транслятором,
ни отладчиком. Обычный текстовый редактор таких возможностей не
предоставляет.

Ответить | Правка | Наверх | Cообщить модератору

23. "Вышел nginx 1.4.1 с устранением уязвимости, приводящей к уда..."  +/
Сообщение от Аноним (-), 07-Май-13, 19:23 
А говорят деньги не портят человека, но продукт все же гробят именно деньги и тупые сотрудники у руля этого карабля
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

2. "Вышел nginx 1.4.1 с устранением уязвимости, приводящей к уда..."  –17 +/
Сообщение от Аноним (-), 07-Май-13, 18:04 
Жаль разработчиков, столько трудились и в один момент капитально подорвана репутация и потеряно доверие к проекту :-( Из нерушимых остаются только Postfix и vsftpd, в которых только мелкие и неопасные уязвимости находили.
Ответить | Правка | Наверх | Cообщить модератору

3. "Вышел nginx 1.4.1 с устранением уязвимости, приводящей к уда..."  +9 +/
Сообщение от Аноним (-), 07-Май-13, 18:19 
Во-первых, не ошибается тот, кто ничего не делает. А во-вторых, я думаю разработчики потерю репутации в твоих глазах переживут. Это будет не легко, но они справятся.
Ответить | Правка | Наверх | Cообщить модератору

4. "Вышел nginx 1.4.1 с устранением уязвимости, приводящей к уда..."  +3 +/
Сообщение от Sylvia (ok), 07-Май-13, 18:31 
в-третьих nginx далеко не оплот нерушимости и непогрешности
http://nginx.org/en/security_advisories.html
тут достаточно много всего

мне интересно другое, тут недавно китайцы из Qihoo хвастались что дырку нашли (неподтвердилась), интересно iSight какое то отношение к аудиту из-за этой дырки имеют или нет, дырка правда совсем другая ;)

Ответить | Правка | Наверх | Cообщить модератору

30. "Вышел nginx 1.4.1 с устранением уязвимости, приводящей к уда..."  +/
Сообщение от Andrew Kolchoogin (?), 07-Май-13, 19:57 
> в-третьих nginx далеко не оплот нерушимости и непогрешности
> http://nginx.org/en/security_advisories.html
> тут достаточно много всего

Это смотря как считать.

С версии 1.0 и старше major'ов три -- из них один на "specially crafted BACKEND response", что само по себе уже смешно. :)

А так -- http_mp4 и эта. Впрочем, тоже нехорошо.

Ответить | Правка | Наверх | Cообщить модератору

7. "Вышел nginx 1.4.1 с устранением уязвимости, приводящей к уда..."  +6 +/
Сообщение от Аноним (-), 07-Май-13, 18:39 
> Во-первых, не ошибается тот, кто ничего не делает. А во-вторых, я думаю разработчики потерю репутации в твоих глазах переживут. Это будет не легко, но они справятся.

А теперь представь, что в техническом плане все то же самое но фамилия разработчика - не Сысоев, а Дреппер (или Поттеринг).
Стал бы ты их оправдывать? То-то же.

Репутация - это прежде всего личные симпатии и антипатии. Реальное качество продукта не играет никакой роли.

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

28. "Вышел nginx 1.4.1 с устранением уязвимости, приводящей к уда..."  +2 +/
Сообщение от ананис (?), 07-Май-13, 19:43 
а почему бы и нет? еще раз - не ошибается лишь тот, кто ничего не делает.
Ответить | Правка | Наверх | Cообщить модератору

35. "Вышел nginx 1.4.1 с устранением уязвимости, приводящей к уда..."  +2 +/
Сообщение от Аноним (-), 07-Май-13, 20:46 
Что за фигню ты написал? Дреппер высококласный специалист но не очень культурный и резковатый человек, а Поттеринг постоянно косячит.
Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

39. "Вышел nginx 1.4.1 с устранением уязвимости, приводящей к уда..."  –1 +/
Сообщение от Аноним (-), 07-Май-13, 21:22 
> Что за фигню ты написал? Дреппер высококласный специалист но не очень культурный и резковатый человек, а Поттеринг постоянно косячит.

Типичный пример сугубо эмоциональной оценки.
По факту, они оба хорошие спецы в своих областях, хотя и не безгрешны. Но отношение к ним определяется не уровнем их квалификации, а исключительно пиаром. В Adobe очень "любят" Дреппера, а Поттеринга очень "уважают" в Canonical.

Ответить | Правка | Наверх | Cообщить модератору

69. "Вышел nginx 1.4.1 с устранением уязвимости, приводящей к уда..."  –1 +/
Сообщение от Аноним (-), 08-Май-13, 16:40 
> Что за фигню ты написал? Дреппер высококласный специалист но не очень культурный
> и резковатый человек, а Поттеринг постоянно косячит.

А высококлассного специалиста украшает дворовое воспитание или вообще его полное отсутствие?

Ответить | Правка | К родителю #35 | Наверх | Cообщить модератору

74. "Вышел nginx 1.4.1 с устранением уязвимости, приводящей к уда..."  +1 +/
Сообщение от Led (ok), 09-Май-13, 01:32 
> А высококлассного специалиста украшает дворовое воспитание или вообще его полное отсутствие?

Высококлассный специалист - это тот, кто не занимается гуманитарным словоблудием, как ты сейчас.

Ответить | Правка | Наверх | Cообщить модератору

76. "Вышел nginx 1.4.1 с устранением уязвимости, приводящей к уда..."  +1 +/
Сообщение от www2 (ok), 09-Май-13, 13:56 
В спорах часто побеждает не тот, кто прав, а тот, кто увереннее в своей правоте. Если ты будешь мямлить, хоть и будешь прав, а потом брюзжать "а я ведь предупреждал", то к тебе постоянно будут относиться как к размазне и брюзге. Определённой категории людей понятен только агрессивный и самоуверенный тон, только таких они могут считать правыми. Конечно, нужно не слишком часто ошибаться, потому что тогда уже отношение может смениться на противоположное - "выскочка и пустобрёх". Успех состоит из двух компонентов - профессиональной компетентности и социальной компетентности.
Ответить | Правка | К родителю #69 | Наверх | Cообщить модератору

81. "Вышел nginx 1.4.1 с устранением уязвимости, приводящей к уда..."  +1 +/
Сообщение от Аноним (-), 10-Май-13, 17:27 
В спорах часто побеждает не тот, кто уверенней в своей правоте, а тот, у кого лучше подвешен язык. Если же спор затеян не с целью помериться писюнами, а с целью нахождения истины, тогда люди спокойно аргументируют свою позиции и оппоненты вместе разрешают спор. Что бы ты не делал, всегда найдутся те, кто будет осуждать тебя, поэтому и "успешным" и "неуспешным" управленцам мнение социума интересно только в контексте манипуляции массами. Среди начальства табун "самодуров", но их не увольняют, значит выскочки и пустобрехи на своем месте. Людей которые пытаются решить проблема агрессивным и самоуверенным тоном - дави интеллектом или не общайся с ними вообще. Про анатомию успеха расскажи отечественным и зарубежным олигархам.

Свои новые открытия по конфликтологии и социологии немедленно пиши на опеннет, они тут так в тему.

Ответить | Правка | Наверх | Cообщить модератору

82. "Вышел nginx 1.4.1 с устранением уязвимости, приводящей к уда..."  +1 +/
Сообщение от AlexAT (ok), 10-Май-13, 22:21 
> манипуляции массами. Среди начальства табун "самодуров", но их не увольняют, значит

... это Россия. Как говорится - угадай страну.
Fixed.

Ответить | Правка | Наверх | Cообщить модератору

6. "Вышел nginx 1.4.1 с устранением уязвимости, приводящей к уда..."  +3 +/
Сообщение от Клыкастый (ok), 07-Май-13, 18:39 
чем раньше ты поймёшь, что непогрешимого софта не было, нет и не будет, тем лучше. я к тому, что доверия быть не должно :)
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

8. "Вышел nginx 1.4.1 с устранением уязвимости, приводящей к уда..."  +1 +/
Сообщение от Аноним (-), 07-Май-13, 18:43 
> чем раньше ты поймёшь, что непогрешимого софта не было, нет и не
> будет, тем лучше. я к тому, что доверия быть не должно
> :)

Бывает софт, в котором регулярно находят крупные дыры (например, proftpd), а бывает софт, в котором их не найдешь, хоть весь код перекопай (vsftpd, djbdns).
И nginx из золотой середины начал скатываться в сторону proftpd.

Ответить | Правка | Наверх | Cообщить модератору

12. "Вышел nginx 1.4.1 с устранением уязвимости, приводящей к уда..."  +/
Сообщение от Клыкастый (ok), 07-Май-13, 18:54 
> И nginx из золотой середины начал скатываться в сторону proftpd.

не утрируй. на тенденцию это вряд ли тянет. но да, парни стали компанией, получили инвестиции, надо тщательней.

Ответить | Правка | Наверх | Cообщить модератору

13. "Вышел nginx 1.4.1 с устранением уязвимости, приводящей к уда..."  +1 +/
Сообщение от Аноним (-), 07-Май-13, 18:56 
> не утрируй. на тенденцию это вряд ли тянет.

Одна новость - да. А вот если сходить по ссылке выше - вполне.
У proftpd тоже далеко не все дыры давали remote shell.

Ответить | Правка | Наверх | Cообщить модератору

15. "Вышел nginx 1.4.1 с устранением уязвимости, приводящей к уда..."  +5 +/
Сообщение от Sylvia (ok), 07-Май-13, 19:04 
http://www.phpmyadmin.net/home_page/security/
на тенденцию вот что тянет )

у nginx есть положительный момент в том, что дырки у них 1) исправляются быстро 2) находятся тоже быстро в пределах ветки разработки или нескольких стабильных версий куда новую "фишку" бекпортировали 3) быстро выложили патч и информацию о том почему следует обновиться (я обновила быстрее чем новость на опеннете вышла)

10 дыр (без windows специфичных) за всю историю проекта, не так уж и много, и уж тем более если сравнить с альтернативами (lighttpd, apache)

Ответить | Правка | Наверх | Cообщить модератору

21. "Вышел nginx 1.4.1 с устранением уязвимости, приводящей к уда..."  +/
Сообщение от Клыкастый (ok), 07-Май-13, 19:11 
> находятся тоже быстро в пределах ветки разработки или нескольких стабильных версий куда новую "фишку" бекпортировали

кстати, в авторах CVE некая контора iSight. это что, парни аудит заказали? :)


> быстро выложили патч и информацию о том почему следует обновиться (я обновила быстрее чем новость на опеннете вышла)

угу.

Ответить | Правка | Наверх | Cообщить модератору

26. "Вышел nginx 1.4.1 с устранением уязвимости, приводящей к уда..."  +1 +/
Сообщение от Sylvia (ok), 07-Май-13, 19:28 
>кстати, в авторах CVE некая контора iSight. это что, парни аудит заказали? :)

мне вот тоже кажется что заказали, в связи с http://www.securityfocus.com/archive/1/526439/30/0/threaded

Ответить | Правка | Наверх | Cообщить модератору

77. "Вышел nginx 1.4.1 с устранением уязвимости, приводящей к уда..."  +/
Сообщение от www2 (ok), 09-Май-13, 13:58 
> 10 дыр (без windows специфичных) за всю историю проекта, не так уж
> и много, и уж тем более если сравнить с альтернативами (lighttpd,
> apache)

Только стоит ещё учесть историю: apache и lighttpd постарше, чем nginx. Может быть nginx не хорош, а просто ещё очень молод?

Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

33. "Вышел nginx 1.4.1 с устранением уязвимости, приводящей к уда..."  –1 +/
Сообщение от JIghtuse (ok), 07-Май-13, 20:18 
Где вы начитались про vsftpd? Хорошая программа, но серебрянной пули не существует: http://www.exploit-db.com/search/?action=search&filter_page=...

Про nginx я слышал, что ещё ни одной уязвимости с возможностью удалённого выполнения кода не существовало. Сейчас появилась - закрыли тут же. Код проекта предельно чист.

Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

36. "Вышел nginx 1.4.1 с устранением уязвимости, приводящей к уда..."  +4 +/
Сообщение от Аноним (-), 07-Май-13, 20:53 
> Где вы начитались про vsftpd? Хорошая программа, но серебрянной пули не существует:
> http://www.exploit-db.com/search/?action=search&filter_page=...

Ты дурачёк? Ты сам по своей ссылке ходил? Два бага, оба DoS, один из которых требует успешной аутентификации.

Ответить | Правка | Наверх | Cообщить модератору

58. "Вышел nginx 1.4.1 с устранением уязвимости, приводящей к уда..."  –2 +/
Сообщение от Led (ok), 08-Май-13, 05:36 
> Ты дурачёк?

Хуже - анимешник

Ответить | Правка | Наверх | Cообщить модератору

61. "Вышел nginx 1.4.1 с устранением уязвимости, приводящей к уда..."  +/
Сообщение от AlexAT (ok), 08-Май-13, 07:34 
> Хуже - анимешник

Чем тебе анимешники не угодили? /злобно, выгибая пальцы для вставки в глаза оппонента/

Ответить | Правка | Наверх | Cообщить модератору

70. "Вышел nginx 1.4.1 с устранением уязвимости, приводящей к уда..."  +2 +/
Сообщение от Аноним (-), 08-Май-13, 16:41 
>> Хуже - анимешник
> Чем тебе анимешники не угодили? /злобно, выгибая пальцы для вставки в глаза
> оппонента/

Анимешники - г@вно.

Ответить | Правка | Наверх | Cообщить модератору

72. "Вышел nginx 1.4.1 с устранением уязвимости, приводящей к уда..."  +/
Сообщение от AlexAT (ok), 08-Май-13, 17:57 
> Анимешники - г@вно.

@вно - это ты, а анимешники - большое коммюнити. От млада до велика.

Ответить | Правка | Наверх | Cообщить модератору

79. "Вышел nginx 1.4.1 с устранением уязвимости, приводящей к уда..."  +/
Сообщение от анон (?), 09-Май-13, 16:16 
Ня!
Ответить | Правка | Наверх | Cообщить модератору

10. "Вышел nginx 1.4.1 с устранением уязвимости, приводящей к уда..."  +5 +/
Сообщение от Аноним (-), 07-Май-13, 18:49 
Репутация портится не у тех, у кого находят уязвимости, а у тех, кто их подолгу не исправляет.
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

31. "Вышел nginx 1.4.1 с устранением уязвимости, приводящей к уда..."  +/
Сообщение от PyMonty (?), 07-Май-13, 19:58 
>> Из нерушимых остаются только Postfix и vsftpd, в которых только мелкие
>> и неопасные уязвимости находили.

Тогда я вам порекомендую в качестве HTTP-сервера программу "Hello World!", в ней вообще за всё огромную историю существования ни одной уязвимости не нашли.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

40. "Вышел nginx 1.4.1 с устранением уязвимости, приводящей к уда..."  +1 +/
Сообщение от Аноним (-), 07-Май-13, 21:23 
> Тогда я вам порекомендую в качестве HTTP-сервера программу "Hello World!", в ней
> вообще за всё огромную историю существования ни одной уязвимости не нашли.

Да ладно. Бывают спецы, которые и приветмир дырявый могут сделать.

Ответить | Правка | Наверх | Cообщить модератору

63. "Вышел nginx 1.4.1 с устранением уязвимости, приводящей к уда..."  +/
Сообщение от Аноним (-), 08-Май-13, 08:17 
> vsftpd

на до же бы ло ска зать pure-ftpd

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

14. "Вышел nginx 1.4.1 с устранением уязвимости, приводящей к уда..."  –1 +/
Сообщение от Int (?), 07-Май-13, 18:59 
Не радует.
Ответить | Правка | Наверх | Cообщить модератору

29. "Вышел nginx 1.4.1 с устранением уязвимости, приводящей к уда..."  +2 +/
Сообщение от Аноним (-), 07-Май-13, 19:56 
Что ни говори, а код у nginx ужасный. Ужасный код не может быть безопасным.
Ответить | Правка | Наверх | Cообщить модератору

32. "Вышел nginx 1.4.1 с устранением уязвимости, приводящей к уда..."  –1 +/
Сообщение от PyMonty (?), 07-Май-13, 20:02 
> Что ни говори, а код у nginx ужасный. Ужасный код не может
> быть безопасным.

Вы наверное PHP-шник? Пример в студию. Сорцы nginx одни из самых читабельных среди всего, что мне доводилось видеть.

Ответить | Правка | Наверх | Cообщить модератору

34. "Вышел nginx 1.4.1 с устранением уязвимости, приводящей к уда..."  +4 +/
Сообщение от mogila (ok), 07-Май-13, 20:37 
Собственно, весь обсуждаемый ngx_http_parse.c написан упоротым оптимизатором, которому даже strncmp использовать западло. Взамен это:

#define ngx_str3_cmp(m, c0, c1, c2, c3)                                       \
    *(uint32_t *) m == ((c3 << 24) | (c2 << 16) | (c1 << 8) | c0)

#define ngx_str3Ocmp(m, c0, c1, c2, c3)                                       \
    *(uint32_t *) m == ((c3 << 24) | (c2 << 16) | (c1 << 8) | c0)

#define ngx_str4cmp(m, c0, c1, c2, c3)                                        \
    *(uint32_t *) m == ((c3 << 24) | (c2 << 16) | (c1 << 8) | c0)
    
#define ngx_str5cmp(m, c0, c1, c2, c3, c4)                                    \
    *(uint32_t *) m == ((c3 << 24) | (c2 << 16) | (c1 << 8) | c0)             \
        && m[4] == c4
        
#define ngx_str6cmp(m, c0, c1, c2, c3, c4, c5)                                \
    *(uint32_t *) m == ((c3 << 24) | (c2 << 16) | (c1 << 8) | c0)             \
        && (((uint32_t *) m)[1] & 0xffff) == ((c5 << 8) | c4)
    
#define ngx_str7_cmp(m, c0, c1, c2, c3, c4, c5, c6, c7)                       \
    *(uint32_t *) m == ((c3 << 24) | (c2 << 16) | (c1 << 8) | c0)             \
        && ((uint32_t *) m)[1] == ((c7 << 24) | (c6 << 16) | (c5 << 8) | c4)

#define ngx_str8cmp(m, c0, c1, c2, c3, c4, c5, c6, c7)                        \
    *(uint32_t *) m == ((c3 << 24) | (c2 << 16) | (c1 << 8) | c0)             \
        && ((uint32_t *) m)[1] == ((c7 << 24) | (c6 << 16) | (c5 << 8) | c4)

#define ngx_str9cmp(m, c0, c1, c2, c3, c4, c5, c6, c7, c8)                    \
    *(uint32_t *) m == ((c3 << 24) | (c2 << 16) | (c1 << 8) | c0)             \
        && ((uint32_t *) m)[1] == ((c7 << 24) | (c6 << 16) | (c5 << 8) | c4)  \
        && m[8] == c8

А в старых версиях, помнится, было и вовсе: if m[0] == 'P' && m[1] == 'O' && m[2] == 'S' && m[3] == 'T'. И весь парсер состоит из вложенных switch... case... switch... case... switch... case... на пятнадцать экранов, с адресной арифметикой и кучей глобальных переменных состояния. Вот вы можете головой поручиться, что там нет логических ошибок? Лично я б за вашу голову много не дал. Безопасный сетевой код так не пишут.

В lighttpd2 вон перестали заниматься хернёй и начали использовать glib для строк и ragel для парсеров, потому ковбойские времена K&R уже прошли, и кто не использует библиотечные функции и кодогенераторы, тот школота и мерзавец. Повторяю: ШКОЛОТА И МЕРЗАВЕЦ.

Ответить | Правка | Наверх | Cообщить модератору

38. "Вышел nginx 1.4.1 с устранением уязвимости, приводящей к уда..."  –2 +/
Сообщение от Аноним (-), 07-Май-13, 21:01 
Сам ты мерзавец :)
Ответить | Правка | Наверх | Cообщить модератору

44. "Вышел nginx 1.4.1 с устранением уязвимости, приводящей к уда..."  +/
Сообщение от Аноним (-), 07-Май-13, 22:41 
uint32_t ? хм .. в каком веке мы живем...
Ответить | Правка | К родителю #34 | Наверх | Cообщить модератору

45. "Вышел nginx 1.4.1 с устранением уязвимости, приводящей к уда..."  +2 +/
Сообщение от AlexAT (ok), 07-Май-13, 23:12 
Не просто uint32_t, а *(uint32_t*)
А в общем и целом - действительно, код упорот на голову. Одна из причин, по которой я крайне предвзято смотрю на nginx. Неплохо бы уже слегка понять, что современные архитектуры с uint32_t оперируют слегка это, неоптимально... А в указанном случае - и вообще довериться компилеру, ибо при поддержке SSEx этот код будет слегка оптимальнее.
Ответить | Правка | Наверх | Cообщить модератору

46. "Вышел nginx 1.4.1 с устранением уязвимости, приводящей к уда..."  +/
Сообщение от Аноним (-), 07-Май-13, 23:22 
AVX инструкции на процессорах от Intel могут сразу тремя переменными оперировать в векторе за такт
Ответить | Правка | Наверх | Cообщить модератору

47. "Вышел nginx 1.4.1 с устранением уязвимости, приводящей к уда..."  +2 +/
Сообщение от Аноним (-), 07-Май-13, 23:22 
> AVX инструкции на процессорах от Intel могут сразу тремя переменными оперировать в
> векторе за такт

http://ru.wikipedia.org/wiki/AVX

Ответить | Правка | Наверх | Cообщить модератору

49. "Вышел nginx 1.4.1 с устранением уязвимости, приводящей к уда..."  +1 +/
Сообщение от AlexAT (ok), 07-Май-13, 23:47 
> AVX инструкции на процессорах от Intel могут сразу тремя переменными оперировать в
> векторе за такт

Да, смысла городить "оптимизационные" велосипеды никакого.

Ответить | Правка | К родителю #46 | Наверх | Cообщить модератору

57. "Вышел nginx 1.4.1 с устранением уязвимости, приводящей к уда..."  +/
Сообщение от Аноним (-), 08-Май-13, 05:18 
Ну, так огульно всё ж не стоит.
Смысл как был, так и есть, в определенных местах. Другой вопрос что оптимизация оптимизации рознь. Такая микро- как выше, конечно, смысла имеет мало. А вот учитывать иерархичность памяти, размеры кэшей процессоров, выравнивать структуры данных и проч. - не особо сложно, а помогает весьма
Ответить | Правка | Наверх | Cообщить модератору

60. "Вышел nginx 1.4.1 с устранением уязвимости, приводящей к уда..."  +1 +/
Сообщение от AlexAT (ok), 08-Май-13, 07:32 
> Смысл как был, так и есть, в определенных местах.

Так, как выше приведено - нет в принципе.

> А вот учитывать иерархичность памяти, размеры кэшей процессоров, выравнивать структуры
> данных

Согласен. Но это задачи в основном для ядра и ядрёного программирования, в коде аппликух этим обычно уже занимается компилятор + glibc. Кроме того, такой подход порождает массу #define - поскольку надо учитывать под каждый проц. Ну и с выходом новых процов всё становится печально. Отличный пример - виндоприложения.

Ответить | Правка | Наверх | Cообщить модератору

48. "Вышел nginx 1.4.1 с устранением уязвимости, приводящей к уда..."  +1 +/
Сообщение от Аноним (-), 07-Май-13, 23:35 
http://pastebin.com/y6Tbj5pF
Ответить | Правка | К родителю #45 | Наверх | Cообщить модератору

50. "Вышел nginx 1.4.1 с устранением уязвимости, приводящей к уда..."  +1 +/
Сообщение от Аноним (-), 08-Май-13, 00:22 
Не в обиду, шко.лот.ой являются авторы лайти. Они продо.л.б.али шанс стать вторыми в мире. Они не поддеривают преемственность версий. Они все крушат до основания, не имея ни таймлайна выпуска новой версии, ни внятной поддержки старой версии, на которую они уже по.л.ожили. Это отст0й: применять сие в продакшне невозможно. Потому что на выбор жуткий недопил0к с странными зависимостями (glib на сервере? ну-ну, удачи) и хрень с известными большими проблемами, на котоорые шко.л.ота забила, вдарившись за крутыми концепциями, но не имея ресурсов довести до ума хоть что-то. Меня это достало и я перевел мои серваки на нжинкс. У этих по крайней мере какая-то логика прослеживается, а не просто метания ст.у.дней между концепциями.

Вывод: по управлению проектом в целом нжинкс намного вменяемее. По на либы.По на эстетику. В конце концов засчитывается как оно работает. Нэинкс при эксплуатации намного лучше, с какой стороны ни глянь.

зы а настоящий м3рзавец - тот кто гномовую глЫбу на сервер сватать удумал.

Ответить | Правка | К родителю #34 | Наверх | Cообщить модератору

51. "Вышел nginx 1.4.1 с устранением уязвимости, приводящей к уда..."  +/
Сообщение от mogila (ok), 08-Май-13, 00:47 
$ ldd /usr/bin/mc | grep glib
        libglib-2.0.so.0 => /lib/i386-linux-gnu/libglib-2.0.so.0 (0xb73d2000)

Что же делать! *Побежал сносить mc со всех серверов.*

Ответить | Правка | Наверх | Cообщить модератору

53. "Вышел nginx 1.4.1 с устранением уязвимости, приводящей к уда..."  –1 +/
Сообщение от Аноним (-), 08-Май-13, 01:42 
> $ ldd /usr/bin/mc | grep glib
>         libglib-2.0.so.0 => /lib/i386-linux-gnu/libglib-2.0.so.0 (0xb73d2000)
> Что же делать! *Побежал сносить mc со всех серверов.*

вместо mc используй mc-light, он вроде не тянет гнома

Ответить | Правка | Наверх | Cообщить модератору

55. "Вышел nginx 1.4.1 с устранением уязвимости, приводящей к уда..."  +4 +/
Сообщение от Michael Shigorinemail (ok), 08-Май-13, 02:38 
> вместо mc используй mc-light, он вроде не тянет гнома

glib -- это не гном, чукчи :)

Ответить | Правка | Наверх | Cообщить модератору

56. "Вышел nginx 1.4.1 с устранением уязвимости, приводящей к уда..."  +/
Сообщение от Аноним (-), 08-Май-13, 04:21 
Разрабатываемая в рамках и лежащая в основах проектов GTK+ и GNOME, GLib широко используется в приложениях
Ответить | Правка | Наверх | Cообщить модератору

64. "Вышел nginx 1.4.1 с устранением уязвимости, приводящей к уда..."  +/
Сообщение от Michael Shigorinemail (ok), 08-Май-13, 11:25 
> GLib широко используется в приложениях

...самого разного плана, необязательно gnome и даже gtk -- например, consolehelper или gammu:

gammu/libgammu/CMakeLists.txt:# Own or glib based MD5 implementation

Вообще это одно из распространённых заблуждений, и не надо стесняться приводить педивикию в качестве своего (единственного?) источника таковых.

Ответить | Правка | Наверх | Cообщить модератору

71. "Вышел nginx 1.4.1 с устранением уязвимости, приводящей к уда..."  +1 +/
Сообщение от Sylvia (ok), 08-Май-13, 17:50 
то что оно родилось вместе с гномом никогда не отобьет у многих "привкус" гнома, даже от библиотеки которая по сути является в некотором роде надстройкой над libc, также как apr (apache portable runtime) или nspr (рантайм мозиллы), никакого GUI и прочей специфики все эти библиотеки не содержат, всегото управление памятью, потоками итп.

в приципе приведенных пары примеров должно быть достаточно для того, чтобы показать что многим libc недостаточно ;) это у nginx зависимости только на libc, zlib, pcre, openssl, libgcc

Ответить | Правка | К родителю #55 | Наверх | Cообщить модератору

67. "Вышел nginx 1.4.1 с устранением уязвимости, приводящей к уда..."  +/
Сообщение от Клыкастый (ok), 08-Май-13, 12:21 
> вместо mc используй mc-light, он вроде не тянет гнома

ненене... про mc-light vim-light уже наскакивали.

Ответить | Правка | К родителю #53 | Наверх | Cообщить модератору

52. "Вышел nginx 1.4.1 с устранением уязвимости, приводящей к уда..."  +/
Сообщение от Аноним (-), 08-Май-13, 01:31 
Вот еще немного вебсерверов

- Cherokee ( http://cherokee-project.com/ ) очень юзерфрендли и не нужно редактировать conf (есть админка на вебпорте)
- G-WAN ( http://gwan.com/ )
- Varnish [HTTP accelerator/VCL/] ( https://varnish-cache.org/ )
- Tengine (форк nginx)
- HAproxy (TCP/HTTP баланировщик) http://haproxy.1wt.eu/
- hiawatha ( http://www.hiawatha-webserver.org/ )
- nxweb ( https://bitbucket.org/yarosla/nxweb/wiki/Home )

Немного ссылок по теме:
- http://nbonvin.wordpress.com/2011/03/14/apache-vs-nginx-vs-v.../
- http://webperformance.ru/2011/06/03/varnish-speed-up/
- http://www.tuicool.com/articles/zMJzIf

Ответить | Правка | К родителю #50 | Наверх | Cообщить модератору

66. "Вышел nginx 1.4.1 с устранением уязвимости, приводящей к уда..."  –2 +/
Сообщение от 8887656 (?), 08-Май-13, 12:19 
Хороши.
Еще Appweb - но для разрабов (+ембедед). Вообще nginx не уперся ни с какого бока, много более лучших (c) альтернатив.
А G-WAN - разве не платный? В свое время очень понравился.
Ответить | Правка | Наверх | Cообщить модератору

78. "Вышел nginx 1.4.1 с устранением уязвимости, приводящей к уда..."  +/
Сообщение от www2 (ok), 09-Май-13, 14:10 
> Не в обиду, шко.лот.ой являются авторы лайти. Они продо.л.б.али шанс стать вторыми
> в мире. Они не поддеривают преемственность версий.

Это говорит пользователь веб-сервера, у которого полторы недели назад появилась стабильная ветка?

> Они все крушат до
> основания, не имея ни таймлайна выпуска новой версии, ни внятной поддержки
> старой версии, на которую они уже по.л.ожили.

Не знаю, что они там крушат. Пользуюсь lighttpd с 2008 года, когда у nginx'а ещё не было стабильной ветки. Никогда не было с ним никаких проблем с lighttpd и ничто не ломалось. Возможно потому что я пользуюсь на серверах Debian, в который не вкатывают каждую новую версию просто потому, что она появилась.

> Это отст0й: применять сие
> в продакшне невозможно. Потому что на выбор жуткий недопил0к с странными
> зависимостями (glib на сервере? ну-ну, удачи)

Ты хоть знаешь, что такое glib?

> и хрень с известными большими
> проблемами, на котоорые шко.л.ота забила, вдарившись за крутыми концепциями, но не
> имея ресурсов довести до ума хоть что-то.

Какие крутые концепции, какие проблемы, что не доведено до ума? Это веб-сервер, который просто работает.

> Меня это достало и
> я перевел мои серваки на нжинкс. У этих по крайней мере
> какая-то логика прослеживается, а не просто метания ст.у.дней между концепциями.

Просто личная неприязнь, как у меня к apache, хотя я не имею ничего против него, если он стоит не на моих серверах.

> Вывод: по управлению проектом в целом нжинкс намного вменяемее. По на либы.По
> на эстетику. В конце концов засчитывается как оно работает. Нэинкс при
> эксплуатации намного лучше, с какой стороны ни глянь.

Покажите мне эти стороны. Я пока что ни одной конкретной причины предпочесть один веб-сервер другому от вас не услышал, одна брехня и неграмотность.

> зы а настоящий м3рзавец - тот кто гномовую глЫбу на сервер сватать
> удумал.

Ответить | Правка | К родителю #50 | Наверх | Cообщить модератору

87. "Вышел nginx 1.4.1 с устранением уязвимости, приводящей к уда..."  +/
Сообщение от Michael Shigorinemail (ok), 13-Май-13, 15:51 
> Никогда не было с ним никаких проблем с lighttpd и ничто не ломалось.

И файлики с плюсиком в имени там не чинили?

Ответить | Правка | Наверх | Cообщить модератору

54. "Вышел nginx 1.4.1 с устранением уязвимости, приводящей к уда..."  –1 +/
Сообщение от pavlinux (ok), 08-Май-13, 02:32 
Debian + Apache + Postgres - поездили, поездят и буду поездить нашу поездатую родину!  
Ответить | Правка | Наверх | Cообщить модератору

59. "Вышел nginx 1.4.1 с устранением уязвимости, приводящей к уда..."  +/
Сообщение от Anonymous000 (?), 08-Май-13, 07:27 
А знаете, что самое смешное?

http://sysoev.ru/apache/chunked.html

Фактически такая же уязвимость. :))))))

Ответить | Правка | Наверх | Cообщить модератору

62. "Вышел nginx 1.4.1 с устранением уязвимости, приводящей к уда..."  +1 +/
Сообщение от Аноним (-), 08-Май-13, 07:47 
забавно http://sysoev.ru/apache/patch.chunked.txt
Ответить | Правка | Наверх | Cообщить модератору

84. "Вышел nginx 1.4.1 с устранением уязвимости, приводящей к уда..."  +/
Сообщение от Dmitry (??), 11-Май-13, 21:47 
Смешной патч. Патчить надо было саму функцию, которая возвращает с какого-то перепугу отрицательные размеры...
Ответить | Правка | Наверх | Cообщить модератору

88. "Вышел nginx 1.4.1 с устранением уязвимости, приводящей к уда..."  +/
Сообщение от Аноним (-), 15-Май-13, 05:56 
unsigned __int64
Ответить | Правка | Наверх | Cообщить модератору

80. "Вышел nginx 1.4.1 с устранением уязвимости, приводящей к уда..."  +2 +/
Сообщение от pavlinux (ok), 10-Май-13, 15:55 
> Фактически такая же уязвимость.

Ага, только 11 лет назад.


Ответить | Правка | К родителю #59 | Наверх | Cообщить модератору

86. "Вышел nginx 1.4.1 с устранением уязвимости, приводящей к уда..."  +/
Сообщение от Michael Shigorinemail (ok), 13-Май-13, 15:49 
> А знаете, что самое смешное?

Да-да, тоже вспомнилось на даче.

Ответить | Правка | К родителю #59 | Наверх | Cообщить модератору

89. "Вышел nginx 1.4.1 с устранением уязвимости, приводящей к уда..."  +/
Сообщение от Какаянахренразница (ok), 22-Окт-22, 20:17 
Зачастили как-то релизы nginx-а...
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру