LINUX.ORG.RU
НовостиБезопасность

Nginx 1.15.6 и 1.14.1 с исправлениями уязвимостей

 , ,


1

2

Вышли версии nginx 1.15.6 и 1.14.1, в которых исправлены три уязвимости:

  • CVE-2018-16843 и CVE-2018-16844 — чрезмерное потребление памяти и CPU в модуле ngx_http_v2_module, реализующем поддержку протокола HTTP/2.
  • CVE-2018-16845 — отправка клиенту содержимого памяти рабочего процесса при использовании модуля ngx_http_mp4_module

Для эксплуатации первых двух уязвимостей достаточно наличия параметра http2 директивы listen. Эксплуатация CVE-2018-16845 требует директиву mp4 и специально подготовленного mp4-файла.

Также в nginx 1.15.6 исправлен баг, из-за которого nginx, собранный с OpenSSL 1.1.0, но работающий с OpenSSL 1.1.1, всегда разрешал использование протокола TLS 1.3. И добавлен ряд директив, определяющих поведение TCP keepalive (использование параметра сокета SO_KEEPALIVE) в модулях http бэкендов proxy, fastcgi, grpc, memcached/ scgi? uwsgi

Патч, исправляющий CVE-2018-16845

>>> Подробности

★★★★★

Проверено: Dimez ()
Последнее исправление: Deleted (всего исправлений: 2)
Релиз Crystal-0.27.0
GraphQL создает свою OpenSource foundation

Уязвимости не особо серьёзные, но всё-таки на мининовость тянет

MrClon ★★★★★
() автор топика

https://w3techs.com/technologies/details/ws-nginx/all/all

Nginx is used by 40.0% of all the websites whose web server we know.

Причем - внимание - только за последний год эта цифра выросла на 5 процентов.
Однако !
Апач по инерции продолжает удерживать лидерство, но тенденция красноречива

kto_tama ★★★★★
()
Последнее исправление: kto_tama (всего исправлений: 1)
Ответ на: комментарий от andreymal

Фигась, как легко ты весь LAMP в легаси записал)

Половина мейнстримовых CMS под апачем крутится, генераторы сайтов, самопальные лендинги-однодневки (пушо по одной инструкции делались), да дофига всего.

А так-то хз, я через nginx томкат проксирую, мненорм.

Deleted
()
Ответ на: комментарий от Deleted

святые костыли, запятая, ты куда DD:

Deleted
()
Ответ на: комментарий от Deleted

Очень даже хорошее, и апач от этого нужнее не становится

andreymal
()
Ответ на: комментарий от andreymal

на shared-хостингах

Очень популярных до сих пор и еще очень долго. Там и FTP во во все поля.

mandala ★★★★★
()
Ответ на: комментарий от Deleted

А так-то хз, я через nginx томкат проксирую, мненорм.

Я на caddy переехал, очень хорошо работает. И Let's Encrypt встроен

Надо будет еще https://traefik.io/ потыкать, тоже интересно

vertexua ★★★★★
()
Последнее исправление: vertexua (всего исправлений: 1)
Ответ на: комментарий от MrClon

Я считаю что nginx+phpfpm считается дефакто стандартом. ибо для каждого Vhost можно свою версию php указывать. что удобно

algola
()
Ответ на: комментарий от algola

Я тоже предпочитаю вариант nginx+phpfpm, но не вижу как первая часть твоего комментария соотносится со второй. Удобство и стандарт дефакто это разные вещи

P.S. с апачём тоже можно задать свой php для каждого сайта, как минимум в связке nginx+apache+phpfpm. Кажется это популярный сейчас конфиг

MrClon ★★★★★
() автор топика
Ответ на: комментарий от actionless

На апач многое завязано, в том числе личный опыт, а еще такая гадость как документация. Просто так ни первое ни второе не меняется — пока выполняет задачи будет востребовано. Тут нжикс втюхивают админы, при этом все остальные продолжают работать с апачем.

да, в сфере веб-дева модных ща девопсов на все руки мастер мало, да и не нужно особо: разрабы отмахиваются от админства, админы от любого разрабства.

mandala ★★★★★
()
Последнее исправление: mandala (всего исправлений: 3)
Ответ на: комментарий от anonymous

Да вот, новости по nginx пишу

MrClon ★★★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Релиз Crystal-0.27.0
Безопасность
GraphQL создает свою OpenSource foundation