The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Ещё одна уязвимость в Apache httpd, позволяющая обратиться за пределы корневого каталога сайта

08.10.2021 08:00

Найден новый вектор атаки на http-сервер Apache, который остался неисправленным в обновлении 2.4.50 и позволяет получить доступ к файлам из областей вне корневого каталога сайта. Кроме того, исследователями найден способ, позволяющий при наличии определённых нестандартных настроек не только прочитать системные файлы, но и удалённо выполнить свой код на сервере. Проблема проявляется только в выпусках 2.4.49 и 2.4.50, более ранние версии уязвимости не подвержены. Для устранения нового варианта уязвимости оперативно сформирован выпуск Apache httpd 2.4.51.

По своей сути новая проблема (CVE-2021-42013) полностью аналогична изначальной уязвимости (CVE-2021-41773) в 2.4.49, разница лишь в иной кодировке символов "..". В частности, в выпуске 2.4.50 была заблокирована возможность использования последовательности "%2e" для кодирования точки, но упущена возможность двойного кодирования - при указании последовательности "%%32%65" сервер декодировал её в "%2e", а затем в ".", т.е. символы "../" для перехода в предыдущий каталог можно было закодировать как ".%%32%65/".

Что касается эксплуатации уязвимости через выполнение кода, то подобное возможно при включении mod_cgi и использовании базового пути, в котором разрешено выполнение CGI-скриптов (например, если включена директива ScriptAlias или указан флаг ExecCGI в директиве Options). Обязательным требованием для успешного проведения атаки также является явное предоставление в настройках Apache доступа к каталогам с исполняемыми файлами, таким как /bin, или доступа к корню ФС "/". Так как обычно такой доступ не предоставляется, то атака по выполнению кода малоприменима к реальным системам.

При этом остаётся актуальной атака по получению содержимого произвольных системных файлов и исходных текстов web-скриптов, доступных для чтения пользователю, под которым запущен http-сервер. Для проведения такой атаки достаточно наличия на сайте каталога, настроенного при помощи директив "Alias" или "ScriptAlias" (DocumentRoot не достаточно), такого как "cgi-bin".

Пример эксплоита, позволяющего выполнить утилиту "id" на сервере:


   curl 'http://192.168.0.1/cgi-bin/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/bin/sh' --data 'echo Content-Type: text/plain; echo; id'

   uid=1(daemon) gid=1(daemon) groups=1(daemon)

Пример эксплоитов, позволяющего вывести содержимое /etc/passwd и одного из web-скриптов (для отдачи кода скриптов в качестве базового должен быть указан определённый через директиву "Alias" каталог, для которого не включено исполнение скриптов):


   curl 'http://192.168.0.1/cgi-bin/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/etc/passwd'
   curl 'http://192.168.0.1/aliaseddir/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/usr/local/apache2/cgi-bin/test.cgi'

Проблема затрагивает в основном непрерывно обновляемые дистрибутивы, такие как Fedora, Arch Linux и Gentoo, а также порты FreeBSD. Пакеты в стабильных ветках консервативных серверных дистрибутивов Debian, RHEL, Ubuntu и SUSE уязвимости не подвержены. Проблема не проявляется, если доступ к каталогам явно запрещён при помощи настройки "require all denied", которая по умолчанию установлена для корня в типовой конфигурации httpd, поставляемой в Debian и многих других дистрибутивах.


   <Directory />
        Options FollowSymLinks
        AllowOverride None
        Require all denied
   </Directory>

Дополнение: 6 и 7 октября компания Cloudflare зафиксировала более 300 тысяч попыток эксплуатации уязвимости CVE-2021-41773 в день. Чаще всего в результате автоматизированных атак запрашивают содержимое "/cgi-bin/.%2e/.git/config", "/cgi-bin/.%2e/app/etc/local.xml", "/cgi-bin/.%2e/app/etc/env.php" и "/cgi-bin/.%2e/%2e%2e/%2e%2e/etc/passwd".

  1. Главная ссылка к новости (https://www.openwall.com/lists...)
  2. OpenNews: Уязвимость в http-сервере Apache 2.4.49, позволяющая получить файлы вне корня сайта
  3. OpenNews: Уязвимость в http-сервере Nostromo, приводящая к удалённому выполнению кода
  4. OpenNews: Обновление HTTP-сервера H2O 2.2.5 с устранением уязвимости
  5. OpenNews: Серия уязвимостей в реализациях HTTP/2
  6. OpenNews: Вышел nginx 1.4.1 с устранением уязвимости, приводящей к удалённому выполнению кода
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/55939-apache
Ключевые слова: apache, httpd
Поддержать дальнейшую публикацию новостей на OpenNET.


Обсуждение (84) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Qwerty (??), 08:52, 08/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    недоработали ребята, ну ничего, исправили
     
     
  • 2.2, Аноним (2), 08:54, 08/10/2021 [^] [^^] [^^^] [ответить]  
  • +16 +/
    Экстремальное программирование - отладка на пользователях. Типа актуальный метод разработки.
     
     
  • 3.5, Qwerty (??), 09:04, 08/10/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    а я думал что ЭП это когда ты одной рукой кодишь на ноуте, а другой противостоишь ватаге ниндзя аки старина Брюс Ли

    или там прыгаешь с парашютом и кодишь

    или... не так что ли?

     
  • 3.17, Аноним (17), 10:31, 08/10/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Экстремальное программирование - это про test-driven development. Отладка на пользователях - это экстремистское программирование ;)
     
     
  • 4.37, kissmyass (?), 17:59, 08/10/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    и то, и другое разновидность Lox Driven Development
     
  • 4.53, Аноним (53), 23:32, 08/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    И должно быть запрещено в России :)
     
     
  • 5.70, Anon2 (?), 09:26, 09/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    И в следствии Apache httpd будет защищен от всех уязвимостей законодательством РФ. Го в ЭП
     
  • 3.20, Sw00p aka Jerom (?), 10:54, 08/10/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    CI
     
  • 3.67, KT315 (ok), 09:13, 09/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Сейчас походу все так разрабатывается и в "продакшон". Что телефоны, что машины... Главное покрыть тест кейсами и найти баги, которые могут посадить на кукан. Остальное рутина и удовольствие от процесса :)
     

  • 1.3, Аноним (2), 08:55, 08/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    Не страшно. В прдакшн не ставят

    > непрерывно обновляемые дистрибутивы

     
     
  • 2.9, Онаним (?), 09:30, 08/10/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну, bleeding edge на то и bleeding edge.
    Вменяемые на таковом сидящие прекрасно это понимают.
    А вот сидящие от фанатизма - не всегда, поэтому как обычно вопли и сопли.
     
     
  • 3.10, Онаним (?), 09:32, 08/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Я с этими переплясками включил ждуна, и пожалуй ещё пару месяцев выжду - и далее либо накачу 51, либо 52 или чего там уже будет, если changelog устроит, либо ещё подожду :D
     
  • 3.16, Аноним (16), 10:24, 08/10/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Что вы хотели сказать вот этой фразой?
    > bleeding edge
     
     
  • 4.39, Ordu (ok), 18:50, 08/10/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Предположу, что фразой "bleeding edge" он хотел сказать "bleeding edge".
     
     
  • 5.76, Онаним (?), 11:06, 09/10/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Абсолютно так.
    Говоря "bleeding edge", я имел в виду именно "bleeding edge", не подразумевающее ничего кроме "bleeding edge".
     

  • 1.4, Аноним (4), 09:01, 08/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    позорище
     
  • 1.6, Ананоним (?), 09:05, 08/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Шо, опять???
     
  • 1.7, Аноним (7), 09:11, 08/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    > была заблокирована возможность использования последовательности "%2e" для кодирования точки...
    > но упущена возможность двойного кодирования...

    А потом тройного, четверного... Не кажется ли, что они не на том конце проверку делают?

     
     
  • 2.41, пох. (?), 19:16, 08/10/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Кажется. Херачь молнией, Г-ди, не осталось тут праведников.

    Уж если в разработчики апача понабрали подобных макак, которым даже предыдущий факап не подсказал что надо делать проверки после декодирования, нормализации и что там еще предполагается перед обращением к файловой системе, а не в процессе.

    Отдельный вопрос - а зачем они делают двойное декодирование и не надо ли в этом месте вернуть то, что у nginx называется 444 - захлопнуть сессию без объяснений и записать в лог про попытку хакинга. Поскольку никаких легитимных применений подобной бредятине не просматривается, а кому очень-очень надо - пусть себе двойное и десятерное декодирование вручную разрешает и уже потом не плачет о последствиях.

     
     
  • 3.57, Аноним (57), 00:40, 09/10/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Макак туда понабрали еще во времена разработки ветки 2. В 1.3 все было аккуратно и с пониманием дела. А из второго те же race conditions на stat-ы вычищали долго и мучительно. Ну потому что внезапно разработчики веб-сервера не понимают, что он работает в многозадачной среде.
     
     
  • 4.81, пох. (?), 12:29, 09/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, там разно было - достаточно вспомнить, что вызвало появление 1.3.26 (правда, потом на те же грабли со всего разбега наделся nginx)

    И точно такой же насквозь гнилой mod_proxy (вообще не понимаю, кто им мог пользоваться и для чего) как и по сей день (думаю, потому что никто им и не пользуется с тех пор)

    Это помимо родовых травм с lingering sockets, кстати, принесенных тогда входившим в моду http/1.1

    А в 2.0 ради винды и "упрощения модулей" да, попереломали вообще все подряд. Но к 2.2 почти все уже встало на свои места, снова стало можно пользоваться, подложив соломку где надо.

     
     
  • 5.86, Аноним (57), 14:26, 09/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ох, пляски вокруг lingering sockets - это вообще следствие родовой травмы http.
    С аплоадом вроде как придумали 100 Continue, но ни один браузер так и не поддерживает до сих пор.
     
  • 5.87, Аноним (57), 14:29, 09/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > к 2.2 почти все уже встало на свои места

    Возможно. К 2.2 я уже полностью перелез на nginx. В принципе, сменил одни грабли на другие, да, но там хотя бы код куда менее объемный (был), и логику одного разработчика куда проще понять, чем логику десятков.

     
  • 3.89, john_erohin (?), 17:25, 10/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > зачем они делают двойное декодирование

    если клиент сидит за семью проксями, то придется делать
    и восьмипроходное декодирование (нормализацию).
    в общем случае, пока предыдущий_результат != новый_результат.

     
     
  • 4.91, пох. (?), 07:48, 12/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    вот прокси пусть и делает. Никто тебе не гарантирует что урл ../../что-то вообще допустим на этом сайте - даже если в принципе путь такой есть и находится внутри дерева сайта.

    Это не файловая система.

    Если прокси вместо правильного урла нафантазировал билиберду - пусть пользователь его и чинит себе.

     

  • 1.8, Онаним (?), 09:29, 08/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Эээээ, а с хрена ли оно делает двойное декодирование.
    Кого вообще к эскейпингу подпустили в этот раз-то?
     
     
  • 2.11, Аноним (11), 09:37, 08/10/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Двойные стандарты
     
  • 2.62, Аноним (62), 03:53, 09/10/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Этих, как их... эсджевешников.
     

  • 1.12, Аноним (12), 09:45, 08/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Так и придется переделать себе работающий-ничего-не-трогай сайт с версии PHP 7.0 на ту, что в Debian 11. А так не интересно, т.к. я уже Гофер, и апачи не нужны.
     
  • 1.14, Аноним (14), 10:01, 08/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > …но упущена возможность двойного кодирования - при указании последовательности "%%32%65" сервер декодировал её в "%2e", а затем в ".", т.е. символы "../" для перехода в предыдущий каталог можно было закодировать как ".%%32%65/".

    Может всё-таки в тёмное место этот percent encoding пора, а? Юникот на дворе.

     
     
  • 2.30, burjui (ok), 12:39, 08/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    *deleted*
     
  • 2.31, burjui (ok), 12:40, 08/10/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вообще, конечно, пора, но это не отменяет того факта, что код декодирования писал слишком умный для самого себя человек.
     

  • 1.15, InuYasha (??), 10:07, 08/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Дежа вю. И снова Debian to the rescue )
     
  • 1.18, Рейка Сметанова (ok), 10:40, 08/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Надо было юзатб nginx
     
     
  • 2.21, Аноним (21), 10:59, 08/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Не nginx, а thttpd.
     
     
  • 3.27, Аноним (27), 11:55, 08/10/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Чем он лучше?
     
     
  • 4.29, Qwerty (??), 12:25, 08/10/2021 [^] [^^] [^^^] [ответить]  
  • –5 +/
    да
     
  • 3.38, OpenEcho (?), 18:38, 08/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Не nginx, а thttpd.

    Да чё мелочиться, надо использовать то, что под рукой: busybox httpd

     

  • 1.19, Аноним (19), 10:51, 08/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Все же пора на rust!
     
     
  • 2.22, Аноним (21), 11:02, 08/10/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Не на Rust, а на Elm.
     
     
  • 3.23, Аноним (19), 11:09, 08/10/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Хрен редьки не слаще)
     
     
  • 4.26, Аноним (21), 11:39, 08/10/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    https://github.com/marceloboeira/rust-elm
     
     
  • 5.28, Аноним (19), 12:23, 08/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ммм еще и с докером! Нямка. Предлагают назвать переписанный продукт не апач, а срач. Ну чтоб луддитам поднагадить таким макаром.
     
     
  • 6.43, пох. (?), 19:23, 08/10/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    with multistage(!) docker build, а не хрен собачий!


    Впопачь. Что отражает ориентацию типичных разработчиков подобного. Причем в самом плохом смысле.


     
     
  • 7.50, Аноним (50), 20:49, 08/10/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Вы такой злой потому, что лысый?
     
  • 7.56, Аноним (19), 00:21, 09/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Он зол, но справедлив. В наше время без этого никак.
     
     
  • 8.75, Аноним (21), 10:26, 09/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А в чём смысл этой справедливости поха ... текст свёрнут, показать
     
  • 2.34, Terraforming (ok), 15:32, 08/10/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Не на раст а просто запускать в докере.
     
     
  • 3.55, Alladin (?), 23:50, 08/10/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А докер в докере с докером добавив докер спросив о докере.
     
     
  • 4.63, Terraforming (ok), 04:14, 09/10/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > А докер в докере с докером добавив докер спросив о докере.

    Docker это старый добрый chroot только лучше. Apache еще в 2002 запускали в chroot чтобы не было доступа к системным файлам.

     
     
  • 5.69, пох. (?), 09:24, 09/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Docker это старый добрый chroot только лучше.

    чем лучше - чем грузины!

    https://www.cvedetails.com/product/28125/Docker-Docker.html?vendor_id=13534

    в старом добром chroot не было хотя бы "code execution".


    > Apache еще в 2002 запускали в chroot чтобы не было доступа к системным файлам.

    у кого руки росли из жопы и голова тоже в жопе, безусловно, так и делали.

    Остальные прекрасно понимали, что на машине с апачем основные "системные файлы" лежат в /home/www и все остальное после этого уже ломаного гроша не стоит.

     
  • 2.54, Alladin (?), 23:49, 08/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Согласен, такую халтуру с путями сделать это смешно.

    Я не осведомлен какие апи использовали в апаче, но в раст std с определением относительности путей с разными кодировочными символами все ок.

     
     
  • 3.61, Аноним (61), 03:20, 09/10/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Если rust локальные файлы открывает с перекодировкой из url encoding то у меня для тебя плохие новости.
     

  • 1.32, Аноним (-), 12:53, 08/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Два релиза в неделю !
    Вот что Раст от-контроля-отучающий делать может!
     
     
  • 2.33, Аноним (19), 13:32, 08/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    С 28 сентября ажно 3.
    Вот и уровень современных сишников. Под деградацию протащат и раст, ибо так им проще. А прикроются "луддитами". Все старо, как мир.
     
     
  • 3.35, BorichL (ok), 15:51, 08/10/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Дык раст изначально под деградатов делали.
     
     
  • 4.36, Аноним (19), 16:14, 08/10/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Правильно. Которые в си осилили так, как есть. На примере сабжа даже видно.
    Но чтобы убедить в нужности перехода на новое, нужно сперва дискредитировать старое. Что мы и наблюдаем, утирая скупую мужскую слезу.
     
     
  • 5.42, пох. (?), 19:22, 08/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Проблема проявляется только в выпусках 2.4.49 и 2.4.50,

    так что со старым все в общем хорошо.

    Остается расслабиться и подождать еще одно поколение апачеписак. Пережили мы 2.0 с невменяйками, захотевшими винды и "упрощения разработки модулей" (в результате по сути угробив 3d party модули вообще, доупрощались). К версии 2.2 они все отправились улучшайкать что-то еще, или руководителями заделались, и стало снова можно пользоваться.

     
     
  • 6.44, Аноним (19), 19:55, 08/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Так то оно так, но не забываем о 28 сентября.

    https://www.vuxml.org/freebsd/882a38f9-17dd-11ec-b335-d4c9ef517024.html


    Многовато для 10 дней.

     
     
  • 7.45, Аноним (19), 20:02, 08/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Или от 23 сентября

    https://www.cvedetails.com/cve/CVE-2021-40146/

     
     
  • 8.46, Аноним (19), 20:03, 08/10/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Сам не юзаю папач года полтора Смотрю на все и понимаю, вовремя срулил ... текст свёрнут, показать
     
  • 8.49, пох. (?), 20:26, 08/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    это не имеет ни малейшего отношения к httpd Уровень впопеннета, чо ... текст свёрнут, показать
     
     
  • 9.51, Аноним (19), 22:22, 08/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Соряю, мой косяк Не тот линк спастился https www cvedetails com vulnerability... текст свёрнут, показать
     
     
  • 10.68, пох. (?), 09:18, 09/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ну а если не копипастить а еще и читать - там большая часть проблем традиционно ... текст свёрнут, показать
     
     
  • 11.72, Аноним (19), 10:09, 09/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Почему ты считаешь, что если культура производства этого мода такая, то в осталь... текст свёрнут, показать
     
     
  • 12.74, Аноним (19), 10:17, 09/10/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну а суть человеков не менялась с времен начала нашей эры Менялись лишь декорац... текст свёрнут, показать
     
     
  • 13.80, пох. (?), 12:20, 09/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    перечитай Старшую Эдду Еще как менялась Ну или нартский эпос, куда удобочитаем... текст свёрнут, показать
     
     
  • 14.82, Аноним (19), 13:47, 09/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Да чего далеко ходить Тут в соседнем треде все Народ гагаринский, свиньи, русс... текст свёрнут, показать
     
     
  • 15.84, Аноним (19), 14:05, 09/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Дополню себя В след итерации есть шанс изменить ход ... текст свёрнут, показать
     
  • 11.78, Аноним (19), 11:11, 09/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Как не парадоксально, но послевоенный мир всегда ознаменовывается подьемом Как ... текст свёрнут, показать
     
     
  • 12.79, пох. (?), 12:06, 09/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ты не путай послевоенный мир и гибель пережравших смузи цивилизаций С 1 по 10 ... текст свёрнут, показать
     
     
  • 13.83, Аноним (19), 13:53, 09/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Вот ведь интересно Из раза в раз мы с тобой возвращаемся к этой теме Шли годы ... текст свёрнут, показать
     
     
  • 14.85, пох. (?), 14:12, 09/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    да нет, откуда Готские войны - банально жрать нечего Обоим сторонам Кто были ... текст свёрнут, показать
     
     
  • 15.88, Аноним (19), 14:34, 09/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Правильно, но все это мотивировалось чем, тем, что у кого-то было не так Другой... текст свёрнут, показать
     
  • 3.77, Онаним (?), 11:08, 09/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Хруст будет очень сложно "протащить под деградацию", потому что он и так находится внизу этой пищевой цепочки.
     

  • 1.40, Аноним (40), 18:58, 08/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Ну всё правильного. http головного мозга.
     
  • 1.58, Аноним (58), 00:57, 09/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Lighthttpd норм сервер?
     
     
  • 2.59, Аноним (19), 01:17, 09/10/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Для отдачи статики норм. Лайти для этого обычно применяют. Закрываешь им или хдвижком попачь и норм.
    Сам юзаю https://bsd.plumbing/about.html
     
     
  • 3.60, Аноним (27), 01:58, 09/10/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Спасибо. Мне для статики + fascgi. Просто хотелось убедиться, что у него нет репутации дырявого сервака.
     
     
  • 4.66, Аноним (66), 08:15, 09/10/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Да он дырявый, ты не беспокойся.
     
  • 4.71, Аноним (19), 09:59, 09/10/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Нет, репутации дырявого за ним нет.

    https://www.cvedetails.com/product/4762/Lighttpd-Lighttpd.html?vendor_id=2713

     
  • 4.73, Аноним (19), 10:11, 09/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Тут скорее в скрипты смотреть. Там дыр обычно больше.
     

  • 1.90, _kp (ok), 11:52, 11/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Какие то извращенцы.. Зачем соваться блокировать 2Е в URI, кстати проделывая лишнюю работу, когда можно перехватив работу с путями за счет кеширования еще и быстродействие поднять.
    Да, я не смотрел детали, что там сейчас в Apache, но веб серверы писал, и мне странно читать про такие ляпы, и костыльные подпорки особенно.
     
     
  • 2.92, Аноним (7), 08:15, 13/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Такой вот уровень программистов поколения растаманов.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:
    При перепечатке указание ссылки на opennet.ru обязательно



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру