forum.opennet.ru - "Ещё одна уязвимость в Apache httpd, позволяющая обратиться за пределы корневого каталога" (84)

"Ещё одна уязвимость в Apache httpd, позволяющая обратиться за пределы корневого каталога"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Ещё одна уязвимость в Apache httpd, позволяющая обратиться за пределы корневого каталога"	+/–
Сообщение от opennews (??), 08-Окт-21, 08:52
Найден новый вектор атаки на http-сервер Apache, который остался неисправленным в обновлении 2.4.50 и позволяет получить доступ к файлам из областей вне корневого каталога сайта. Кроме того, исследователями найден способ, позволяющий при наличии определённых нестандартных настроек не только прочитать системные файлы, но и удалённо выполнить свой код на сервере. Проблема проявляется только в выпусках 2.4.49 и 2.4.50, более ранние версии уязвимости не подвержены. Для устранения нового варианта уязвимости оперативно сформирован выпуск Apache httpd 2.4.51... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=55939
Ответить \| Правка \| Cообщить модератору

Оглавление

недоработали ребята, ну ничего, исправили, Qwerty (??), 08:52 , 08-Окт-21, (1) +4

Экстремальное программирование - отладка на пользователях Типа актуальный метод, Аноним (2), 08:54 , 08-Окт-21, (2) +16

а я думал что ЭП это когда ты одной рукой кодишь на ноуте, а другой противостоиш, Qwerty (??), 09:04 , 08-Окт-21, (5) +1
Экстремальное программирование - это про test-driven development Отладка на пол, Аноним (17), 10:31 , 08-Окт-21, (17) +3

и то, и другое разновидность Lox Driven Development, kissmyass (?), 17:59 , 08-Окт-21, (37) –2
И должно быть запрещено в России , Аноним (53), 23:32 , 08-Окт-21, (53)

И в следствии Apache httpd будет защищен от всех уязвимостей законодательством Р, Anon2 (?), 09:26 , 09-Окт-21, (70)

CI, Sw00p aka Jerom (?), 10:54 , 08-Окт-21, (20) –1
Сейчас походу все так разрабатывается и в продакшон Что телефоны, что машины , KT315 (ok), 09:13 , 09-Окт-21, (67)

Не страшно В прдакшн не ставят, Аноним (2), 08:55 , 08-Окт-21, (3) +7

Ну, bleeding edge на то и bleeding edge Вменяемые на таковом сидящие прекрасно э, Онаним (?), 09:30 , 08-Окт-21, (9) +1

Я с этими переплясками включил ждуна, и пожалуй ещё пару месяцев выжду - и далее, Онаним (?), 09:32 , 08-Окт-21, (10)
Что вы хотели сказать вот этой фразой , Аноним (16), 10:24 , 08-Окт-21, (16) –2

Предположу, что фразой bleeding edge он хотел сказать bleeding edge , Ordu (ok), 18:50 , 08-Окт-21, (39) +1

Абсолютно так Говоря bleeding edge , я имел в виду именно bleeding edge , не п, Онаним (?), 11:06 , 09-Окт-21, (76) +1

позорище, Аноним (4), 09:01 , 08-Окт-21, (4) +2
Шо, опять , Ананоним (?), 09:05 , 08-Окт-21, (6) +1
А потом тройного, четверного Не кажется ли, что они не на том конце проверку , Аноним (7), 09:11 , 08-Окт-21, (7) +4

Кажется Херачь молнией, Г-ди, не осталось тут праведников Уж если в разработчик, пох. (?), 19:16 , 08-Окт-21, (41) +4

Макак туда понабрали еще во времена разработки ветки 2 В 1 3 все было аккуратно, Аноним (57), 00:40 , 09-Окт-21, (57) +1

Ну, там разно было - достаточно вспомнить, что вызвало появление 1 3 26 правда,, пох. (?), 12:29 , 09-Окт-21, (81)

Ох, пляски вокруг lingering sockets - это вообще следствие родовой травмы http С, Аноним (57), 14:26 , 09-Окт-21, (86)
Возможно К 2 2 я уже полностью перелез на nginx В принципе, сменил одни грабли, Аноним (57), 14:29 , 09-Окт-21, (87)

если клиент сидит за семью проксями, то придется делатьи восьмипроходное декодир, john_erohin (?), 17:25 , 10-Окт-21, (89)

вот прокси пусть и делает Никто тебе не гарантирует что урл что-то вообще, пох. (?), 07:48 , 12-Окт-21, (91)

Эээээ, а с хрена ли оно делает двойное декодирование Кого вообще к эскейпингу по, Онаним (?), 09:29 , 08-Окт-21, (8) +5

Двойные стандарты, Аноним (11), 09:37 , 08-Окт-21, (11) +2
Этих, как их эсджевешников , Аноним (62), 03:53 , 09-Окт-21, (62) –1

Так и придется переделать себе работающий-ничего-не-трогай сайт с версии PHP 7 0, Аноним (12), 09:45 , 08-Окт-21, (12) –1
Может всё-таки в тёмное место этот percent encoding пора, а Юникот на дворе , Аноним (14), 10:01 , 08-Окт-21, (14) +1

deleted , burjui (ok), 12:39 , 08-Окт-21, (30)
Вообще, конечно, пора, но это не отменяет того факта, что код декодирования писа, burjui (ok), 12:40 , 08-Окт-21, (31) +1

Дежа вю И снова Debian to the rescue , InuYasha (??), 10:07 , 08-Окт-21, (15) –1
Надо было юзатб nginx, Рейка Сметанова (ok), 10:40 , 08-Окт-21, (18) –1

Не nginx, а thttpd , Аноним (21), 10:59 , 08-Окт-21, (21)

Чем он лучше , Аноним (27), 11:55 , 08-Окт-21, (27) –1

да, Qwerty (??), 12:25 , 08-Окт-21, (29) –5

Да чё мелочиться, надо использовать то, что под рукой busybox httpd, OpenEcho (?), 18:38 , 08-Окт-21, (38)

Все же пора на rust , Аноним (19), 10:51 , 08-Окт-21, (19) –1

Не на Rust, а на Elm , Аноним (21), 11:02 , 08-Окт-21, (22) –2

Хрен редьки не слаще , Аноним (19), 11:09 , 08-Окт-21, (23) –2

https github com marceloboeira rust-elm, Аноним (21), 11:39 , 08-Окт-21, (26) –1

Ммм еще и с докером Нямка Предлагают назвать переписанный продукт не апач, а с, Аноним (19), 12:23 , 08-Окт-21, (28)

with multistage docker build, а не хрен собачий Впопачь Что отражает ориент, пох. (?), 19:23 , 08-Окт-21, (43) +2

Вы такой злой потому, что лысый , Аноним (50), 20:49 , 08-Окт-21, (50) –1
Он зол, но справедлив В наше время без этого никак , Аноним (19), 00:21 , 09-Окт-21, (56)

А в чём смысл этой справедливости поха , Аноним (21), 10:26 , 09-Окт-21, (75)

Не на раст а просто запускать в докере , Terraforming (ok), 15:32 , 08-Окт-21, (34) –1

А докер в докере с докером добавив докер спросив о докере , Alladin (?), 23:50 , 08-Окт-21, (55) +1

Docker это старый добрый chroot только лучше Apache еще в 2002 запускали в chro, Terraforming (ok), 04:14 , 09-Окт-21, (63) –2

чем лучше - чем грузины https www cvedetails com product 28125 Docker-Docker h, пох. (?), 09:24 , 09-Окт-21, (69)

Согласен, такую халтуру с путями сделать это смешно Я не осведомлен какие апи ис, Alladin (?), 23:49 , 08-Окт-21, (54)

Если rust локальные файлы открывает с перекодировкой из url encoding то у меня д, Аноним (61), 03:20 , 09-Окт-21, (61) +1

Два релиза в неделю Вот что Раст от-контроля-отучающий делать может , Аноним (-), 12:53 , 08-Окт-21, (32) –1

С 28 сентября ажно 3 Вот и уровень современных сишников Под деградацию протаща, Аноним (19), 13:32 , 08-Окт-21, (33)

Дык раст изначально под деградатов делали , BorichL (ok), 15:51 , 08-Окт-21, (35) +1

Правильно Которые в си осилили так, как есть На примере сабжа даже видно Но чт, Аноним (19), 16:14 , 08-Окт-21, (36) –1

так что со старым все в общем хорошо Остается расслабиться и подождать еще одно , пох. (?), 19:22 , 08-Окт-21, (42)

Так то оно так, но не забываем о 28 сентября https www vuxml org freebsd 882a, Аноним (19), 19:55 , 08-Окт-21, (44)

Или от 23 сентябряhttps www cvedetails com cve CVE-2021-40146 , Аноним (19), 20:02 , 08-Окт-21, (45)

Сам не юзаю папач года полтора Смотрю на все и понимаю, вовремя срулил , Аноним (19), 20:03 , 08-Окт-21, (46) –1
это не имеет ни малейшего отношения к httpd Уровень впопеннета, чо , пох. (?), 20:26 , 08-Окт-21, (49)

Соряю, мой косяк Не тот линк спастилсяhttps www cvedetails com vulnerability-, Аноним (19), 22:22 , 08-Окт-21, (51)

Ну а если не копипастить а еще и читать - там большая часть проблем традиционно , пох. (?), 09:18 , 09-Окт-21, (68)

Почему ты считаешь, что если культура производства этого мода такая, то в осталь, Аноним (19), 10:09 , 09-Окт-21, (72)

Ну а суть человеков не менялась с времен начала нашей эры Менялись лишь декорац, Аноним (19), 10:17 , 09-Окт-21, (74) –1
перечитай Старшую Эдду Еще как менялась Ну или нартский эпос, куда удобочитаем, пох. (?), 12:20 , 09-Окт-21, (80)
Да чего далеко ходить Тут в соседнем треде все Народ гагаринский, свиньи, русс, Аноним (19), 13:47 , 09-Окт-21, (82)
Дополню себя В след итерации есть шанс изменить ход , Аноним (19), 14:05 , 09-Окт-21, (84)

Как не парадоксально, но послевоенный мир всегда ознаменовывается подьемом Как , Аноним (19), 11:11 , 09-Окт-21, (78)

Ты не путай послевоенный мир и гибель пережравших смузи цивилизаций С 1 по 10 в, пох. (?), 12:06 , 09-Окт-21, (79)
Вот ведь интересно Из раза в раз мы с тобой возвращаемся к этой теме Шли годы , Аноним (19), 13:53 , 09-Окт-21, (83)
да нет, откуда Готские войны - банально жрать нечего Обоим сторонам Кто были , пох. (?), 14:12 , 09-Окт-21, (85)
Правильно, но все это мотивировалось чем, тем, что у кого-то было не так Другой, Аноним (19), 14:34 , 09-Окт-21, (88)

Хруст будет очень сложно протащить под деградацию , потому что он и так находит, Онаним (?), 11:08 , 09-Окт-21, (77)

Ну всё правильного http головного мозга , Аноним (40), 18:58 , 08-Окт-21, (40) –3
Lighthttpd норм сервер , Аноним (58), 00:57 , 09-Окт-21, (58) –1

Для отдачи статики норм Лайти для этого обычно применяют Закрываешь им или хдв, Аноним (19), 01:17 , 09-Окт-21, (59) +1

Спасибо Мне для статики fascgi Просто хотелось убедиться, что у него нет реп, Аноним (27), 01:58 , 09-Окт-21, (60) –2

Да он дырявый, ты не беспокойся , Аноним (66), 08:15 , 09-Окт-21, (66) +2
Нет, репутации дырявого за ним нет https www cvedetails com product 4762 Light, Аноним (19), 09:59 , 09-Окт-21, (71) +2
Тут скорее в скрипты смотреть Там дыр обычно больше , Аноним (19), 10:11 , 09-Окт-21, (73)

Какие то извращенцы Зачем соваться блокировать 2Е в URI, кстати проделывая лиш, _kp (ok), 11:52 , 11-Окт-21, (90) +1

Такой вот уровень программистов поколения растаманов , Аноним (7), 08:15 , 13-Окт-21, (92)

Сообщения [Сортировка по времени | RSS]

1. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..." +4 +/–

Сообщение от Qwerty (??), 08-Окт-21, 08:52

недоработали ребята, ну ничего, исправили

Ответить | Правка | Наверх | Cообщить модератору

2. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..." +16 +/–

Сообщение от Аноним (2), 08-Окт-21, 08:54

Экстремальное программирование - отладка на пользователях. Типа актуальный метод разработки.

Ответить | Правка | Наверх | Cообщить модератору

5. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..." +1 +/–

Сообщение от Qwerty (??), 08-Окт-21, 09:04

а я думал что ЭП это когда ты одной рукой кодишь на ноуте, а другой противостоишь ватаге ниндзя аки старина Брюс Ли
или там прыгаешь с парашютом и кодишь
или... не так что ли?

Ответить | Правка | Наверх | Cообщить модератору

17. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..." +3 +/–

Сообщение от Аноним (17), 08-Окт-21, 10:31

Экстремальное программирование - это про test-driven development. Отладка на пользователях - это экстремистское программирование ;)

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

37. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..." –2 +/–

Сообщение от kissmyass (?), 08-Окт-21, 17:59

и то, и другое разновидность Lox Driven Development

Ответить | Правка | Наверх | Cообщить модератору

53. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..." +/–

Сообщение от Аноним (53), 08-Окт-21, 23:32

И должно быть запрещено в России :)

Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

70. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..." +/–

Сообщение от Anon2 (?), 09-Окт-21, 09:26

И в следствии Apache httpd будет защищен от всех уязвимостей законодательством РФ. Го в ЭП

Ответить | Правка | Наверх | Cообщить модератору

20. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..." –1 +/–

Сообщение от Sw00p aka Jerom (?), 08-Окт-21, 10:54

CI

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

67. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..." +/–

Сообщение от KT315 (ok), 09-Окт-21, 09:13

Сейчас походу все так разрабатывается и в "продакшон". Что телефоны, что машины... Главное покрыть тест кейсами и найти баги, которые могут посадить на кукан. Остальное рутина и удовольствие от процесса :)

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

3. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..." +7 +/–

Сообщение от Аноним (2), 08-Окт-21, 08:55

Не страшно. В прдакшн не ставят
> непрерывно обновляемые дистрибутивы

Ответить | Правка | Наверх | Cообщить модератору

9. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..." +1 +/–

Сообщение от Онаним (?), 08-Окт-21, 09:30

Ну, bleeding edge на то и bleeding edge.
Вменяемые на таковом сидящие прекрасно это понимают.
А вот сидящие от фанатизма - не всегда, поэтому как обычно вопли и сопли.

Ответить | Правка | Наверх | Cообщить модератору

10. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..." +/–

Сообщение от Онаним (?), 08-Окт-21, 09:32

Я с этими переплясками включил ждуна, и пожалуй ещё пару месяцев выжду - и далее либо накачу 51, либо 52 или чего там уже будет, если changelog устроит, либо ещё подожду :D

Ответить | Правка | Наверх | Cообщить модератору

16. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..." –2 +/–

Сообщение от Аноним (16), 08-Окт-21, 10:24

Что вы хотели сказать вот этой фразой?
> bleeding edge

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

39. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..." +1 +/–

Сообщение от Ordu (ok), 08-Окт-21, 18:50

Предположу, что фразой "bleeding edge" он хотел сказать "bleeding edge".

Ответить | Правка | Наверх | Cообщить модератору

76. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..." +1 +/–

Сообщение от Онаним (?), 09-Окт-21, 11:06

Абсолютно так.
Говоря "bleeding edge", я имел в виду именно "bleeding edge", не подразумевающее ничего кроме "bleeding edge".

Ответить | Правка | Наверх | Cообщить модератору

4. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..." +2 +/–

Сообщение от Аноним (4), 08-Окт-21, 09:01

позорище

Ответить | Правка | Наверх | Cообщить модератору

6. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..." +1 +/–

Сообщение от Ананоним (?), 08-Окт-21, 09:05

Шо, опять???

Ответить | Правка | Наверх | Cообщить модератору

7. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..." +4 +/–

Сообщение от Аноним (7), 08-Окт-21, 09:11

> была заблокирована возможность использования последовательности "%2e" для кодирования точки...
> но упущена возможность двойного кодирования...
А потом тройного, четверного... Не кажется ли, что они не на том конце проверку делают?

Ответить | Правка | Наверх | Cообщить модератору

41. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..." +4 +/–

Сообщение от пох. (?), 08-Окт-21, 19:16

Кажется. Херачь молнией, Г-ди, не осталось тут праведников.
Уж если в разработчики апача понабрали подобных макак, которым даже предыдущий факап не подсказал что надо делать проверки после декодирования, нормализации и что там еще предполагается перед обращением к файловой системе, а не в процессе.
Отдельный вопрос - а зачем они делают двойное декодирование и не надо ли в этом месте вернуть то, что у nginx называется 444 - захлопнуть сессию без объяснений и записать в лог про попытку хакинга. Поскольку никаких легитимных применений подобной бредятине не просматривается, а кому очень-очень надо - пусть себе двойное и десятерное декодирование вручную разрешает и уже потом не плачет о последствиях.

Ответить | Правка | Наверх | Cообщить модератору

57. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..." +1 +/–

Сообщение от Аноним (57), 09-Окт-21, 00:40

Макак туда понабрали еще во времена разработки ветки 2. В 1.3 все было аккуратно и с пониманием дела. А из второго те же race conditions на stat-ы вычищали долго и мучительно. Ну потому что внезапно разработчики веб-сервера не понимают, что он работает в многозадачной среде.

Ответить | Правка | Наверх | Cообщить модератору

81. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..." +/–

Сообщение от пох. (?), 09-Окт-21, 12:29

Ну, там разно было - достаточно вспомнить, что вызвало появление 1.3.26 (правда, потом на те же грабли со всего разбега наделся nginx)
И точно такой же насквозь гнилой mod_proxy (вообще не понимаю, кто им мог пользоваться и для чего) как и по сей день (думаю, потому что никто им и не пользуется с тех пор)
Это помимо родовых травм с lingering sockets, кстати, принесенных тогда входившим в моду http/1.1
А в 2.0 ради винды и "упрощения модулей" да, попереломали вообще все подряд. Но к 2.2 почти все уже встало на свои места, снова стало можно пользоваться, подложив соломку где надо.

Ответить | Правка | Наверх | Cообщить модератору

86. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..." +/–

Сообщение от Аноним (57), 09-Окт-21, 14:26

Ох, пляски вокруг lingering sockets - это вообще следствие родовой травмы http.
С аплоадом вроде как придумали 100 Continue, но ни один браузер так и не поддерживает до сих пор.

Ответить | Правка | Наверх | Cообщить модератору

87. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..." +/–

Сообщение от Аноним (57), 09-Окт-21, 14:29

> к 2.2 почти все уже встало на свои места
Возможно. К 2.2 я уже полностью перелез на nginx. В принципе, сменил одни грабли на другие, да, но там хотя бы код куда менее объемный (был), и логику одного разработчика куда проще понять, чем логику десятков.

Ответить | Правка | К родителю #81 | Наверх | Cообщить модератору

89. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..." +/–

Сообщение от john_erohin (?), 10-Окт-21, 17:25

> зачем они делают двойное декодирование
если клиент сидит за семью проксями, то придется делать
и восьмипроходное декодирование (нормализацию).
в общем случае, пока предыдущий_результат != новый_результат.

Ответить | Правка | К родителю #41 | Наверх | Cообщить модератору

91. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..." +/–

Сообщение от пох. (?), 12-Окт-21, 07:48

вот прокси пусть и делает. Никто тебе не гарантирует что урл ../../что-то вообще допустим на этом сайте - даже если в принципе путь такой есть и находится внутри дерева сайта.
Это не файловая система.
Если прокси вместо правильного урла нафантазировал билиберду - пусть пользователь его и чинит себе.

Ответить | Правка | Наверх | Cообщить модератору

8. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..." +5 +/–

Сообщение от Онаним (?), 08-Окт-21, 09:29

Эээээ, а с хрена ли оно делает двойное декодирование.
Кого вообще к эскейпингу подпустили в этот раз-то?

Ответить | Правка | Наверх | Cообщить модератору

11. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..." +2 +/–

Сообщение от Аноним (11), 08-Окт-21, 09:37

Двойные стандарты

Ответить | Правка | Наверх | Cообщить модератору

62. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..." –1 +/–

Сообщение от Аноним (62), 09-Окт-21, 03:53

Этих, как их... эсджевешников.

Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

12. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..." –1 +/–

Сообщение от Аноним (12), 08-Окт-21, 09:45

Так и придется переделать себе работающий-ничего-не-трогай сайт с версии PHP 7.0 на ту, что в Debian 11. А так не интересно, т.к. я уже Гофер, и апачи не нужны.

Ответить | Правка | Наверх | Cообщить модератору

14. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..." +1 +/–

Сообщение от Аноним (14), 08-Окт-21, 10:01

> …но упущена возможность двойного кодирования - при указании последовательности "%%32%65" сервер декодировал её в "%2e", а затем в ".", т.е. символы "../" для перехода в предыдущий каталог можно было закодировать как ".%%32%65/".
Может всё-таки в тёмное место этот percent encoding пора, а? Юникот на дворе.

Ответить | Правка | Наверх | Cообщить модератору

30. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..." +/–

Сообщение от burjui (ok), 08-Окт-21, 12:39

*deleted*

Ответить | Правка | Наверх | Cообщить модератору

31. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..." +1 +/–

Сообщение от burjui (ok), 08-Окт-21, 12:40

Вообще, конечно, пора, но это не отменяет того факта, что код декодирования писал слишком умный для самого себя человек.

Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

15. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..." –1 +/–

Сообщение от InuYasha (??), 08-Окт-21, 10:07

Дежа вю. И снова Debian to the rescue )

Ответить | Правка | Наверх | Cообщить модератору

18. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..." –1 +/–

Сообщение от Рейка Сметанова (ok), 08-Окт-21, 10:40

Надо было юзатб nginx

Ответить | Правка | Наверх | Cообщить модератору

21. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..." +/–

Сообщение от Аноним (21), 08-Окт-21, 10:59

Не nginx, а thttpd.

Ответить | Правка | Наверх | Cообщить модератору

27. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..." –1 +/–

Сообщение от Аноним (27), 08-Окт-21, 11:55

Чем он лучше?

Ответить | Правка | Наверх | Cообщить модератору

29. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..." –5 +/–

Сообщение от Qwerty (??), 08-Окт-21, 12:25

да

Ответить | Правка | Наверх | Cообщить модератору

38. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..." +/–

Сообщение от OpenEcho (?), 08-Окт-21, 18:38

> Не nginx, а thttpd.
Да чё мелочиться, надо использовать то, что под рукой: busybox httpd

Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

19. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..." –1 +/–

Сообщение от Аноним (19), 08-Окт-21, 10:51

Все же пора на rust!

Ответить | Правка | Наверх | Cообщить модератору

22. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..." –2 +/–

Сообщение от Аноним (21), 08-Окт-21, 11:02

Не на Rust, а на Elm.

Ответить | Правка | Наверх | Cообщить модератору

23. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..." –2 +/–

Сообщение от Аноним (19), 08-Окт-21, 11:09

Хрен редьки не слаще)

Ответить | Правка | Наверх | Cообщить модератору

26. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..." –1 +/–

Сообщение от Аноним (21), 08-Окт-21, 11:39

https://github.com/marceloboeira/rust-elm

Ответить | Правка | Наверх | Cообщить модератору

28. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..." +/–

Сообщение от Аноним (19), 08-Окт-21, 12:23

Ммм еще и с докером! Нямка. Предлагают назвать переписанный продукт не апач, а срач. Ну чтоб луддитам поднагадить таким макаром.

Ответить | Правка | Наверх | Cообщить модератору

43. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..." +2 +/–

Сообщение от пох. (?), 08-Окт-21, 19:23

with multistage(!) docker build, а не хрен собачий!

Впопачь. Что отражает ориентацию типичных разработчиков подобного. Причем в самом плохом смысле.

Ответить | Правка | Наверх | Cообщить модератору

50. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..." –1 +/–

Сообщение от Аноним (50), 08-Окт-21, 20:49

Вы такой злой потому, что лысый?

Ответить | Правка | Наверх | Cообщить модератору

56. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..." +/–

Сообщение от Аноним (19), 09-Окт-21, 00:21

Он зол, но справедлив. В наше время без этого никак.

Ответить | Правка | К родителю #43 | Наверх | Cообщить модератору

75. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..." +/–

Сообщение от Аноним (21), 09-Окт-21, 10:26

А в чём смысл этой "справедливости" поха?

Ответить | Правка | Наверх | Cообщить модератору

34. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..." –1 +/–

Сообщение от Terraforming (ok), 08-Окт-21, 15:32

Не на раст а просто запускать в докере.

Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

55. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..." +1 +/–

Сообщение от Alladin (?), 08-Окт-21, 23:50

А докер в докере с докером добавив докер спросив о докере.

Ответить | Правка | Наверх | Cообщить модератору

63. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..." –2 +/–

Сообщение от Terraforming (ok), 09-Окт-21, 04:14

> А докер в докере с докером добавив докер спросив о докере.
Docker это старый добрый chroot только лучше. Apache еще в 2002 запускали в chroot чтобы не было доступа к системным файлам.

Ответить | Правка | Наверх | Cообщить модератору

69. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..." +/–

Сообщение от пох. (?), 09-Окт-21, 09:24

> Docker это старый добрый chroot только лучше.
чем лучше - чем грузины!
https://www.cvedetails.com/product/28125/Docker-Docker.html?...
в старом добром chroot не было хотя бы "code execution".

> Apache еще в 2002 запускали в chroot чтобы не было доступа к системным файлам.
у кого руки росли из жопы и голова тоже в жопе, безусловно, так и делали.
Остальные прекрасно понимали, что на машине с апачем основные "системные файлы" лежат в /home/www и все остальное после этого уже ломаного гроша не стоит.

Ответить | Правка | Наверх | Cообщить модератору

54. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..." +/–

Сообщение от Alladin (?), 08-Окт-21, 23:49

Согласен, такую халтуру с путями сделать это смешно.
Я не осведомлен какие апи использовали в апаче, но в раст std с определением относительности путей с разными кодировочными символами все ок.

Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

61. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..." +1 +/–

Сообщение от Аноним (61), 09-Окт-21, 03:20

Если rust локальные файлы открывает с перекодировкой из url encoding то у меня для тебя плохие новости.

Ответить | Правка | Наверх | Cообщить модератору

32. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..." –1 +/–

Сообщение от Аноним (-), 08-Окт-21, 12:53

Два релиза в неделю !
Вот что Раст от-контроля-отучающий делать может!

Ответить | Правка | Наверх | Cообщить модератору

33. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..." +/–

Сообщение от Аноним (19), 08-Окт-21, 13:32

С 28 сентября ажно 3.
Вот и уровень современных сишников. Под деградацию протащат и раст, ибо так им проще. А прикроются "луддитами". Все старо, как мир.

Ответить | Правка | Наверх | Cообщить модератору

35. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..." +1 +/–

Сообщение от BorichL (ok), 08-Окт-21, 15:51

Дык раст изначально под деградатов делали.

Ответить | Правка | Наверх | Cообщить модератору

36. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..." –1 +/–

Сообщение от Аноним (19), 08-Окт-21, 16:14

Правильно. Которые в си осилили так, как есть. На примере сабжа даже видно.
Но чтобы убедить в нужности перехода на новое, нужно сперва дискредитировать старое. Что мы и наблюдаем, утирая скупую мужскую слезу.

Ответить | Правка | Наверх | Cообщить модератору

42. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..." +/–

Сообщение от пох. (?), 08-Окт-21, 19:22

> Проблема проявляется только в выпусках 2.4.49 и 2.4.50,
так что со старым все в общем хорошо.
Остается расслабиться и подождать еще одно поколение апачеписак. Пережили мы 2.0 с невменяйками, захотевшими винды и "упрощения разработки модулей" (в результате по сути угробив 3d party модули вообще, доупрощались). К версии 2.2 они все отправились улучшайкать что-то еще, или руководителями заделались, и стало снова можно пользоваться.

Ответить | Правка | Наверх | Cообщить модератору

44. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..." +/–

Сообщение от Аноним (19), 08-Окт-21, 19:55

Так то оно так, но не забываем о 28 сентября.
https://www.vuxml.org/freebsd/882a38f9-17dd-11ec-b335-d4c9ef...

Многовато для 10 дней.

Ответить | Правка | Наверх | Cообщить модератору

45. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..." +/–

Сообщение от Аноним (19), 08-Окт-21, 20:02

Или от 23 сентября
https://www.cvedetails.com/cve/CVE-2021-40146/

Ответить | Правка | Наверх | Cообщить модератору

46. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..." –1 +/–

Сообщение от Аноним (19), 08-Окт-21, 20:03

Сам не юзаю папач года полтора. Смотрю на все и понимаю, вовремя срулил.

Ответить | Правка | Наверх | Cообщить модератору

49. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..." +/–

Сообщение от пох. (?), 08-Окт-21, 20:26

это не имеет ни малейшего отношения к httpd. Уровень впопеннета, чо.

Ответить | Правка | К родителю #45 | Наверх | Cообщить модератору

51. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..." +/–

Сообщение от Аноним (19), 08-Окт-21, 22:22

Соряю, мой косяк. Не тот линк спастился
https://www.cvedetails.com/vulnerability-list/vendor_id-45/p...
4 cve за сентябрь.

Ответить | Правка | Наверх | Cообщить модератору

68. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..." +/–

Сообщение от пох. (?), 09-Окт-21, 09:18

Ну а если не копипастить а еще и читать - там большая часть проблем традиционно в mod_proxy (которым пользоваться нельзя и это табу еще времен апача 1.3), моднявом http/2-3-4-5, общие для всех прожектов потащивших это ненужное ненужно в свой код, несуществующих модулях с несуществующими глюками и тому подобная ересь.
А серьезная проблема ровно одна и та сомнительной опасности.
Так что особой проблемы еще лет десять пользоваться апачем полугодичной давности вряд ли предвидится.
А там либо шах, либо ишак, либо сам Ходжа... либо гибель цивилизации и уже больше будут цениться умения пригибаться и стрелять чем всякая ненужная фигня. Насреддину-то, походу, больше свезло с эпохой.

Ответить | Правка | Наверх | Cообщить модератору

72. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..." +/–

Сообщение от Аноним (19), 09-Окт-21, 10:09

>Ну а если не копипастить а еще и читать - там большая часть проблем традиционно
>А серьезная проблема ровно одна и та сомнительной опасности.
Почему ты считаешь, что если культура производства этого мода такая, то в остальном все карашо?
Просто остальное еще в активной эксплуатации и не передано к анализу и исправлению. Не?
>Так что особой проблемы еще лет десять пользоваться апачем полугодичной давности
:)
>Насреддину-то, походу, больше свезло с эпохой.
https://4.bp.blogspot.com/-6NvRfGTWHvg/XKsCLFEljCI/AAAAAAAAE...

Ответить | Правка | Наверх | Cообщить модератору

74. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..." –1 +/–

Сообщение от Аноним (19), 09-Окт-21, 10:17

Ну а суть человеков не менялась с времен начала нашей эры. Менялись лишь декорации. Внутри же все одно.

Ответить | Правка | Наверх | Cообщить модератору

80. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..." +/–

Сообщение от пох. (?), 09-Окт-21, 12:20

> Ну а суть человеков не менялась с времен начала нашей эры.
перечитай Старшую Эдду. Еще как менялась. Ну или нартский эпос, куда удобочитаемей, но там сложнее отделить поздние примеси.
Сдохнуть с мечом в руке - это тебе не смузи жрать.

Ответить | Правка | Наверх | Cообщить модератору

82. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..." +/–

Сообщение от Аноним (19), 09-Окт-21, 13:47

Да чего далеко ходить? Тут в соседнем треде все. Народ гагаринский, свиньи, русский линукс. А что емть Легион так и не поняли. А свиньи как были 2 тыс лет назад "грязным" имуществом, так и остались. Сменились только декорации...
Во все времена были свои "смуззи". И иной раз они даже превращались в достойных представителей.
Ну а ежели цикл будет нарушен, нам точно хана.

Ответить | Правка | К родителю #80 | Наверх | Cообщить модератору

84. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..." +/–

Сообщение от Аноним (19), 09-Окт-21, 14:05

Дополню себя.
>Ну а ежели цикл будет нарушен, нам точно хана.
В след итерации есть шанс изменить ход.

Ответить | Правка | К родителю #82 | Наверх | Cообщить модератору

78. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..." +/–

Сообщение от Аноним (19), 09-Окт-21, 11:11

>либо гибель цивилизации и уже больше будут цениться умения пригибаться и стрелять чем всякая ненужная фигня.
Как не парадоксально, но послевоенный мир всегда ознаменовывается подьемом. Как индустриальным, так и моральным. Чистка/сплочение/дух. И нет времени и сил на ненужную фигню.

Ответить | Правка | К родителю #68 | Наверх | Cообщить модератору

79. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..." +/–

Сообщение от пох. (?), 09-Окт-21, 12:06

Ты не путай послевоенный мир и гибель пережравших смузи цивилизаций.
С 1 по 10 век нашей эры никакого подъема не было - даже такие примитивные вещи как канализацию и водопровод переизобретали потом еще лет 500. И еще 300 до внедрения не в единичных реализациях.
Ибо "нет времени и сил на ненужную фигню - надо срочно бежать убивать соседа". Пока тот первым не прибежал.

Ответить | Правка | Наверх | Cообщить модератору

83. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..." +/–

Сообщение от Аноним (19), 09-Окт-21, 13:53

Вот ведь интересно. Из раза в раз мы с тобой возвращаемся к этой теме. Шли годы...:)
Войны приходили тогда, когда народ пережирал смуззи. Вспомни содом и гоморру. Все старо...
С 1-10 вв тоже был свой прогресс. А смуззей поменьше, потому что соседи чаще набегали.
Сейчас вот видишь, ковид появился. И реалии его далеки от того, что по тв да в табличках. Там очень интересный механизм последствий отдаленных.
Но нужно несмотря ни на что. Вопреки всему.

Ответить | Правка | Наверх | Cообщить модератору

85. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..." +/–

Сообщение от пох. (?), 09-Окт-21, 14:12

> Войны приходили тогда, когда народ пережирал смуззи.
да нет, откуда. Готские войны - банально жрать нечего. Обоим сторонам. Кто были посытее, голодных перебили. Мавританское завоевание - [предпоследнего] тяжело больного короля убили в постели "потому что некто враждебный ему убрал от него оружие" - вот ета жизть, эт я понимаю, умирающий не может отпустить оружия, чтоб не умереть прямщас. Смузи тут пить некогда и негде.
И там куда не плюнь, где вообще внятная письменная история осталась.

Ответить | Правка | К родителю #83 | Наверх | Cообщить модератору

88. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..." +/–

Сообщение от Аноним (19), 09-Окт-21, 14:34

Правильно, но все это мотивировалось чем, тем, что у кого-то было не так. Другой стороне казалось, что вот сейчас...и счастье.
Разница только в обьеме переедания...
Вот так и нам с тобой сейчас кажется, что эти совсем ппц и крах цивилизации. Оно так-то небезосновательно нам кажется! Но истина всегда где-то между...
Во все времена подобное было. Пока разруливалось.
Просто ты по-духу воин и конечно смотреть тебе на все это смрадно. Но будь все воины...сам понимаешь. Давно бы нас никого не осталось. Тут баланс важен!

Ответить | Правка | К родителю #85 | Наверх | Cообщить модератору

77. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..." +/–

Сообщение от Онаним (?), 09-Окт-21, 11:08

Хруст будет очень сложно "протащить под деградацию", потому что он и так находится внизу этой пищевой цепочки.

Ответить | Правка | К родителю #33 | Наверх | Cообщить модератору

40. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..." –3 +/–

Сообщение от Аноним (40), 08-Окт-21, 18:58

Ну всё правильного. http головного мозга.

Ответить | Правка | Наверх | Cообщить модератору

58. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..." –1 +/–

Сообщение от Аноним (58), 09-Окт-21, 00:57

Lighthttpd норм сервер?

Ответить | Правка | Наверх | Cообщить модератору

59. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..." +1 +/–

Сообщение от Аноним (19), 09-Окт-21, 01:17

Для отдачи статики норм. Лайти для этого обычно применяют. Закрываешь им или хдвижком попачь и норм.
Сам юзаю https://bsd.plumbing/about.html

Ответить | Правка | Наверх | Cообщить модератору

60. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..." –2 +/–

Сообщение от Аноним (27), 09-Окт-21, 01:58

Спасибо. Мне для статики + fascgi. Просто хотелось убедиться, что у него нет репутации дырявого сервака.

Ответить | Правка | Наверх | Cообщить модератору

66. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..." +2 +/–

Сообщение от Аноним (66), 09-Окт-21, 08:15

Да он дырявый, ты не беспокойся.

Ответить | Правка | Наверх | Cообщить модератору

71. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..." +2 +/–

Сообщение от Аноним (19), 09-Окт-21, 09:59

Нет, репутации дырявого за ним нет.
https://www.cvedetails.com/product/4762/Lighttpd-Lighttpd.ht...

Ответить | Правка | К родителю #60 | Наверх | Cообщить модератору

73. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..." +/–

Сообщение от Аноним (19), 09-Окт-21, 10:11

Тут скорее в скрипты смотреть. Там дыр обычно больше.

Ответить | Правка | К родителю #60 | Наверх | Cообщить модератору

90. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..." +1 +/–

Сообщение от _kp (ok), 11-Окт-21, 11:52

Какие то извращенцы.. Зачем соваться блокировать 2Е в URI, кстати проделывая лишнюю работу, когда можно перехватив работу с путями за счет кеширования еще и быстродействие поднять.
Да, я не смотрел детали, что там сейчас в Apache, но веб серверы писал, и мне странно читать про такие ляпы, и костыльные подпорки особенно.

Ответить | Правка | Наверх | Cообщить модератору

92. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..." +/–

Сообщение от Аноним (7), 13-Окт-21, 08:15

Такой вот уровень программистов поколения растаманов.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."	+4 +/–
Сообщение от Qwerty (??), 08-Окт-21, 08:52
недоработали ребята, ну ничего, исправили
Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."	+16 +/–
	Сообщение от Аноним (2), 08-Окт-21, 08:54
	Экстремальное программирование - отладка на пользователях. Типа актуальный метод разработки.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."	+1 +/–
	Сообщение от Qwerty (??), 08-Окт-21, 09:04
	а я думал что ЭП это когда ты одной рукой кодишь на ноуте, а другой противостоишь ватаге ниндзя аки старина Брюс Ли или там прыгаешь с парашютом и кодишь или... не так что ли?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	17. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."	+3 +/–
	Сообщение от Аноним (17), 08-Окт-21, 10:31
	Экстремальное программирование - это про test-driven development. Отладка на пользователях - это экстремистское программирование ;)
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору


	37. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."	–2 +/–
	Сообщение от kissmyass (?), 08-Окт-21, 17:59
	и то, и другое разновидность Lox Driven Development
	Ответить \| Правка \| Наверх \| Cообщить модератору


	53. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."	+/–
	Сообщение от Аноним (53), 08-Окт-21, 23:32
	И должно быть запрещено в России :)
	Ответить \| Правка \| К родителю #17 \| Наверх \| Cообщить модератору


	70. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."	+/–
	Сообщение от Anon2 (?), 09-Окт-21, 09:26
	И в следствии Apache httpd будет защищен от всех уязвимостей законодательством РФ. Го в ЭП
	Ответить \| Правка \| Наверх \| Cообщить модератору


	20. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."	–1 +/–
	Сообщение от Sw00p aka Jerom (?), 08-Окт-21, 10:54
	CI
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору


	67. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."	+/–
	Сообщение от KT315 (ok), 09-Окт-21, 09:13
	Сейчас походу все так разрабатывается и в "продакшон". Что телефоны, что машины... Главное покрыть тест кейсами и найти баги, которые могут посадить на кукан. Остальное рутина и удовольствие от процесса :)
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору

3. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."	+7 +/–
Сообщение от Аноним (2), 08-Окт-21, 08:55
Не страшно. В прдакшн не ставят > непрерывно обновляемые дистрибутивы
Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."	+1 +/–
	Сообщение от Онаним (?), 08-Окт-21, 09:30
	Ну, bleeding edge на то и bleeding edge. Вменяемые на таковом сидящие прекрасно это понимают. А вот сидящие от фанатизма - не всегда, поэтому как обычно вопли и сопли.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."	+/–
	Сообщение от Онаним (?), 08-Окт-21, 09:32
	Я с этими переплясками включил ждуна, и пожалуй ещё пару месяцев выжду - и далее либо накачу 51, либо 52 или чего там уже будет, если changelog устроит, либо ещё подожду :D
	Ответить \| Правка \| Наверх \| Cообщить модератору


	16. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."	–2 +/–
	Сообщение от Аноним (16), 08-Окт-21, 10:24
	Что вы хотели сказать вот этой фразой? > bleeding edge
	Ответить \| Правка \| К родителю #9 \| Наверх \| Cообщить модератору


	39. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."	+1 +/–
	Сообщение от Ordu (ok), 08-Окт-21, 18:50
	Предположу, что фразой "bleeding edge" он хотел сказать "bleeding edge".
	Ответить \| Правка \| Наверх \| Cообщить модератору


	76. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."	+1 +/–
	Сообщение от Онаним (?), 09-Окт-21, 11:06
	Абсолютно так. Говоря "bleeding edge", я имел в виду именно "bleeding edge", не подразумевающее ничего кроме "bleeding edge".
	Ответить \| Правка \| Наверх \| Cообщить модератору

4. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."	+2 +/–
Сообщение от Аноним (4), 08-Окт-21, 09:01
позорище
Ответить \| Правка \| Наверх \| Cообщить модератору

6. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."	+1 +/–
Сообщение от Ананоним (?), 08-Окт-21, 09:05
Шо, опять???
Ответить \| Правка \| Наверх \| Cообщить модератору

7. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."	+4 +/–
Сообщение от Аноним (7), 08-Окт-21, 09:11
> была заблокирована возможность использования последовательности "%2e" для кодирования точки... > но упущена возможность двойного кодирования... А потом тройного, четверного... Не кажется ли, что они не на том конце проверку делают?
Ответить \| Правка \| Наверх \| Cообщить модератору


	41. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."	+4 +/–
	Сообщение от пох. (?), 08-Окт-21, 19:16
	Кажется. Херачь молнией, Г-ди, не осталось тут праведников. Уж если в разработчики апача понабрали подобных макак, которым даже предыдущий факап не подсказал что надо делать проверки после декодирования, нормализации и что там еще предполагается перед обращением к файловой системе, а не в процессе. Отдельный вопрос - а зачем они делают двойное декодирование и не надо ли в этом месте вернуть то, что у nginx называется 444 - захлопнуть сессию без объяснений и записать в лог про попытку хакинга. Поскольку никаких легитимных применений подобной бредятине не просматривается, а кому очень-очень надо - пусть себе двойное и десятерное декодирование вручную разрешает и уже потом не плачет о последствиях.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	57. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."	+1 +/–
	Сообщение от Аноним (57), 09-Окт-21, 00:40
	Макак туда понабрали еще во времена разработки ветки 2. В 1.3 все было аккуратно и с пониманием дела. А из второго те же race conditions на stat-ы вычищали долго и мучительно. Ну потому что внезапно разработчики веб-сервера не понимают, что он работает в многозадачной среде.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	81. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."	+/–
	Сообщение от пох. (?), 09-Окт-21, 12:29
	Ну, там разно было - достаточно вспомнить, что вызвало появление 1.3.26 (правда, потом на те же грабли со всего разбега наделся nginx) И точно такой же насквозь гнилой mod_proxy (вообще не понимаю, кто им мог пользоваться и для чего) как и по сей день (думаю, потому что никто им и не пользуется с тех пор) Это помимо родовых травм с lingering sockets, кстати, принесенных тогда входившим в моду http/1.1 А в 2.0 ради винды и "упрощения модулей" да, попереломали вообще все подряд. Но к 2.2 почти все уже встало на свои места, снова стало можно пользоваться, подложив соломку где надо.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	86. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."	+/–
	Сообщение от Аноним (57), 09-Окт-21, 14:26
	Ох, пляски вокруг lingering sockets - это вообще следствие родовой травмы http. С аплоадом вроде как придумали 100 Continue, но ни один браузер так и не поддерживает до сих пор.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	87. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."	+/–
	Сообщение от Аноним (57), 09-Окт-21, 14:29
	> к 2.2 почти все уже встало на свои места Возможно. К 2.2 я уже полностью перелез на nginx. В принципе, сменил одни грабли на другие, да, но там хотя бы код куда менее объемный (был), и логику одного разработчика куда проще понять, чем логику десятков.
	Ответить \| Правка \| К родителю #81 \| Наверх \| Cообщить модератору


	89. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."	+/–
	Сообщение от john_erohin (?), 10-Окт-21, 17:25
	> зачем они делают двойное декодирование если клиент сидит за семью проксями, то придется делать и восьмипроходное декодирование (нормализацию). в общем случае, пока предыдущий_результат != новый_результат.
	Ответить \| Правка \| К родителю #41 \| Наверх \| Cообщить модератору


	91. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."	+/–
	Сообщение от пох. (?), 12-Окт-21, 07:48
	вот прокси пусть и делает. Никто тебе не гарантирует что урл ../../что-то вообще допустим на этом сайте - даже если в принципе путь такой есть и находится внутри дерева сайта. Это не файловая система. Если прокси вместо правильного урла нафантазировал билиберду - пусть пользователь его и чинит себе.
	Ответить \| Правка \| Наверх \| Cообщить модератору

8. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."	+5 +/–
Сообщение от Онаним (?), 08-Окт-21, 09:29
Эээээ, а с хрена ли оно делает двойное декодирование. Кого вообще к эскейпингу подпустили в этот раз-то?
Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."	+2 +/–
	Сообщение от Аноним (11), 08-Окт-21, 09:37
	Двойные стандарты
	Ответить \| Правка \| Наверх \| Cообщить модератору


	62. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."	–1 +/–
	Сообщение от Аноним (62), 09-Окт-21, 03:53
	Этих, как их... эсджевешников.
	Ответить \| Правка \| К родителю #8 \| Наверх \| Cообщить модератору

12. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."	–1 +/–
Сообщение от Аноним (12), 08-Окт-21, 09:45
Так и придется переделать себе работающий-ничего-не-трогай сайт с версии PHP 7.0 на ту, что в Debian 11. А так не интересно, т.к. я уже Гофер, и апачи не нужны.
Ответить \| Правка \| Наверх \| Cообщить модератору

14. "Ещё одна уязвимость в Apache httpd, позволяющая обратиться з..."	+1 +/–
Сообщение от Аноним (14), 08-Окт-21, 10:01
> …но упущена возможность двойного кодирования - при указании последовательности "%%32%65" сервер декодировал её в "%2e", а затем в ".", т.е. символы "../" для перехода в предыдущий каталог можно было закодировать как ".%%32%65/". Может всё-таки в тёмное место этот percent encoding пора, а? Юникот на дворе.
Ответить \| Правка \| Наверх \| Cообщить модератору