Уязвимость в Nginx Unit (CVE-2019-7401)

0

2

Выпущен Unit 1.7.1, исправляющий уязвимость CVE-2019-7401, которой подвержены все версии Unit с 0.3 по 1.7.

Уязвимость позволяет вызвать переполнение буфера в памяти процесса роутера при обработке специально созданного запроса. Это может привести к отказу в обслуживании (краху процесса роутера) и другим неопределенным последствиям.

Также версия 1.7.1 исправляет ошибку, появившеюся в 1.7 и не позволяющую установить модуль Go без предварительной сборки самого Unit-демона.

Разработчики сообщили что Unit 1.8 с поддержкой внутренней маршрутизации запросов и экспериментального модуля Java запланирован на конец февраля.

Nginx Unit – сервер приложений, управляющий приложениями на ряде языков (Python, PHP, Go, Perl, Ruby, JavaScript) и конфигурируемый через RESTful JSON API.

>>> Подробности

Ссылка

←	Видеоредактор Flowblade 2.0

Выпуск Libreoffice 6.2

→

Подробнее про Unit можно почитать например там: https://www.opennet.ru/opennews/art.shtml?num=48434

MrClon ★★★★★
(08.02.19 07:19:27 MSK) автор топика

Ссылка

конвиругируемый

конвирусируемый?

upcFrost ★★★★★
(08.02.19 12:46:44 MSK)

Ссылка

сервер приложений, управляющий приложениями

масло масляное

anonymous
(08.02.19 12:49:29 MSK)

Ссылка

Шерето

anonymous
(08.02.19 13:26:48 MSK)

Ссылка

конвиругируемый

а написал бы, например, «объединяемый», ничего бы этого не было )))

кон-вер-ген-ци-я. и я бы еще в словарь посмотрел, чтобы оценить адекватность фразы «конвергируемый через»...

aol ★★★★★
(08.02.19 13:31:11 MSK)

Ссылка

Не успел выйти, а уже дыра.

~~kirk_johnson~~ ★☆
(08.02.19 14:03:39 MSK)

Забавно в 2к19 пилить app server. Кому ещё кроме php разработчиков оно нужно?

anonymous
(08.02.19 14:12:58 MSK)

Ответ на: комментарий от kirk_johnson 08.02.19 14:03:39 MSK

докатились, уже в программах ошибки.

SevikL ★★★★★
(08.02.19 14:33:42 MSK)

Ответ на: комментарий от SevikL 08.02.19 14:33:42 MSK

докатились, уже в программах ошибки.

Ну они зачем-то попытались заменить uwsgi, в котором нет таких дыр :)

P.S.

Почему у меня ВНЕЗАПНО появилась подпись к твоему нику:

SevikL ★★★★ (08.02.2019 14:33:42) Гордый обладатель верхнего крестца

Это ты сделал, или баг в движке?

~~kirk_johnson~~ ★☆
(08.02.19 14:42:03 MSK)

Ответ на: комментарий от anonymous 08.02.19 14:12:58 MSK

Забавно в 2к19 пилить app server. Кому ещё кроме php разработчиков оно нужно?

Дофига, на самом деле. Я штук пять активных проектов точно припомню. Начиная с CGit какого-нибудь.

~~kirk_johnson~~ ★☆
(08.02.19 14:42:47 MSK)

Ссылка

Ответ на: комментарий от kirk_johnson 08.02.19 14:42:03 MSK

не я, но так элегантно меня жопоголовым никогда не называли, аж раскраснелся

SevikL ★★★★★
(08.02.19 14:48:13 MSK)

Ссылка

Ответ на: комментарий от anonymous 08.02.19 14:12:58 MSK

вот для php они ещё не всё сделали, до сих пор надо конпелять, чтобы разные версии похапе работали одновременно.

SevikL ★★★★★
(08.02.19 14:49:33 MSK)

конвиругируемый

cetjs2

~~Twissel~~ ★★★★★
(08.02.19 15:04:43 MSK)

Ссылка

Конвиругируемый… блин. Зря кофе с утра не выпил

MrClon ★★★★★
(08.02.19 15:30:31 MSK) автор топика

Ссылка

Ответ на: комментарий от anonymous 08.02.19 14:12:58 MSK

вот как раз PHP разработчикам оно не нужно, у них FPM есть, который напрямую во всех вебсерверах поддерживается. а вот всем остальным - да. впрочем нужность сабжа всё равно под вопросом при наличии uWSGI

eternal_sorrow ★★★★★
(08.02.19 19:08:53 MSK)
Последнее исправление: eternal_sorrow 08.02.19 19:10:19 MSK (всего исправлений: 1)

Ссылка

Ответ на: комментарий от SevikL 08.02.19 14:49:33 MSK

Ну они из коробки так и будет, если только не собрать модули заранее.

anonymous
(08.02.19 21:50:28 MSK)

Ссылка

Ответ на: комментарий от kirk_johnson 08.02.19 14:42:03 MSK

Ну они зачем-то попытались заменить uwsgi, в котором нет таких дыр :)

Ну надо ведь финансирование привлекать. Кастомеры поведутся на хайп установят, а потом заплатят за поддержку...

dem ★★
(08.02.19 22:00:39 MSK)

Ответ на: комментарий от dem 08.02.19 22:00:39 MSK

Ну надо ведь финансирование привлекать. Кастомеры поведутся на хайп установят, а потом заплатят за поддержку...

Вот тока он вроде бесплатный.

~~kirk_johnson~~ ★☆
(08.02.19 22:07:01 MSK)

Ответ на: комментарий от kirk_johnson 08.02.19 22:07:01 MSK

Вот тока он вроде бесплатный.

Это ведь не значит, что за него не платят...

dem ★★
(08.02.19 22:27:54 MSK)

вызвать переполнение буфера

fasthttp есть. nginx и апчи - не нужны

Go

а зачем Go дополнительный кеширующий сервер?

ссзб вобщем. прикладное ПО давно должно быть всё переписано на нормальных языках

PexuOne ☆
(08.02.19 23:20:57 MSK)

Ссылка

Ответ на: комментарий от dem 08.02.19 22:27:54 MSK

Это ведь не значит, что за него не платят...

Вообще значит. Плата за поддержку это плата за поддержку. Ты можешь поставить себе сам и не платить саппорту.

~~kirk_johnson~~ ★☆
(09.02.19 00:15:33 MSK)

Ответ на: комментарий от kirk_johnson 09.02.19 00:15:33 MSK

Блин ПЛАТЯТ это когда ты получаешь деньги. Это значит, что у тебя есть Кастомер который у тебя что то купил. Мог купить работу (стрижка газона или танцы), а мог саппорт.

dem ★★
(09.02.19 00:18:02 MSK)

Ответ на: комментарий от dem 09.02.19 00:18:02 MSK

Блин ПЛАТЯТ это когда ты получаешь деньги. Это значит, что у тебя есть Кастомер который у тебя что то купил. Мог купить работу (стрижка газона или танцы), а мог саппорт.

Какая мне разница, что там кто у кого купил? Мне эта штука достается бесплатной.

~~kirk_johnson~~ ★☆
(09.02.19 00:20:20 MSK)

Ответ на: комментарий от kirk_johnson 09.02.19 00:20:20 MSK

Мне эта штука достается бесплатной.

Я говорил что то против?

dem ★★
(09.02.19 00:21:16 MSK)

Ссылка

Что такое app-server и разве Nginx + my .exe/.so не достаточно? По мне так тут и Nginx не особо нужен, просто влом организовывать приём узеров в своём аппе, да и апп может быть не один.

q0tw4 ★★★★
(09.02.19 10:17:51 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Видеоредактор Flowblade 2.0

Безопасность

Выпуск Libreoffice 6.2

→

Похожие темы