LINUX.ORG.RU

А Саныч как всегда "забывает" сообщить о том, что ошибка уже как несколько дней назад исправлена..

hzk
()

$ curl -I reddit.com
HTTP/1.1 200 OK
Connection: close
Status: 200 OK
Content-Type: text/html; charset=utf-8
Vary: Accept-Encoding, Cookie
Set-Cookie: reddit_first=first; Domain=reddit.com; expires=Sat, 05-Jan-2008 06:45:50 GMT; Path=/;
Content-Length: 36099
Date: Tue, 11 Sep 2007 12:59:36 GMT
Server: lighttpd/1.4.13

Кто хочет потестить эксплоит? :)

ero-sennin ★★
()

Ппц новости...
Давайте уж и Changelog`и обсуждать, раз на то пошло

bobrik
()

[bobrik@bobrik] ~ $> gcc ex.c -o ex [bobrik@bobrik] ~ $> ./ex debwitch 80 /etc/passwd Ошибка сегментирования :D

p.s.: сорцы не разглядывал, особо некогда

bobrik
()

такую бы уязвимость на apache2, а то забыл ssh сервак на тачке поднять а ее уже увезли :/

Somewho ★★
()

/me отставил паниковать, ибо понял что не использует FastCGI

Osmos ★★
()
Ответ на: комментарий от kto_tama

Почему и нет? Используют его конечно. И поддерживают.

vovans ★★★★★
()

/me не использует ПХП /me использует Питон спасибо. собрал новую.

OXIj
()

хм... использую nginx, от lighttpd использую только spawn-fcgi, он то хоть ни при чем к новости?

arsi ★★★★★
()
Ответ на: комментарий от proforg

> уже не пых пых ли ?

агу, медиавики. еще смф, но его скоро заменю на свой лисапед))

зы: мойн-мойн не предлагать, не нравиццо...

arsi ★★★★★
()

Lighttpd вообще оставляет неприятное впечатление после изучения исходного кода. Тем не менее, лемминги его любят.

an
()
Ответ на: комментарий от ero-sennin

Ubuntu там чтоли? У неё вроде эта версия в feisty.

Lumi ★★★★★
()

А что можно поставить на замену? Желательно как можно более легковесное и с теми же фичами (WebDAV как минимум).

anonymous
()
Ответ на: комментарий от anonymous

>как можно более легковесное и с теми же фичами (WebDAV как минимум).

посмотрите nginx, там все это есть.

vden ★★
()
Ответ на: комментарий от kto_tama

Ессно поддерживается и довольно активно.Прикольный сервак вообще - на ерундовых ресурсах может весьма мощно серверствовать.Апачу до него по легковесности как раком до китая.Соответственно становится популярен - а потому тестится на дыры бОльшим числом глаз.

anonymous
()
Ответ на: комментарий от anonymous

WebDAV как ни странно у лайта есть.А если завтра в выбранном вами сервере тоже дырку найдут вы и его менять будете? )))

anonymous
()
Ответ на: комментарий от an

На вкус и цвет знаете ли.Весьма достойный и фичастый сервер.Вы и такой врядли напишете, мистер эстет.Хотя если у вас есть бесплатный сервер с исходниками который лучше - что ж вы молчите?Давайте сюда, будет рулезом всех времен и народов.А так - из сравнимых есть nginx.Неплохая штука, но пока он не используется на нескольких миллионах хостов, говорить что-то про его дырявость - рановато.По скорости - примерно 1 фиг с лайтом.

anonymous
()
Ответ на: комментарий от anonymous

> WebDAV как ни странно у лайта есть.А если завтра в выбранном вами сервере тоже дырку найдут вы и его менять будете? )))

Именно для того. чтобы вообще не менять никогда - есть смысл посмотреть на nginx: на моей памяти в нем за 3 года его существования не было ни одной security проблемы. Для нашего неспокойного мира это серьезный показатель.

an
()
Ответ на: комментарий от arsi

>> уже не пых пых ли ?
>агу, медиавики. еще смф, но его скоро заменю на свой лисапед))
попробуй php-fpm, всяко по возможностям лучше :) правда пыхпых патчить нужно.

proforg
()
Ответ на: комментарий от an

>> Именно для того. чтобы вообще не менять никогда - есть смысл посмотреть на nginx: на моей памяти в нем за 3 года его существования не было ни одной security проблемы. Для нашего неспокойного мира это серьезный показатель.

Было по меньшей мере 2: одна связанная с fastcgi как раз и X-Accel-Redirect, года полтора назад, и вторая, совсем недавно, что то весьма IE - специфическое, практически никем никогда неиспользуемое. Обе прошли незамеченными :)

proforg
()
Ответ на: комментарий от an

>на моей памяти в нем за 3 года его существования не было ни одной security проблемы

Гы. lighttpd используется по netcraft на 1.21% серверов. Почти полтора миллиона только проверенных неткрафтом - http://news.netcraft.com/archives/2007/07/index.html

Можно узнать, сколько хостов юзает nginx?

KRoN73 ★★★★★
()

Лучче б фастцги под винду починили. Ждём 1.5.

yk4ever
()
Ответ на: комментарий от KRoN73

>можно узнать, сколько хостов юзает nginx?

http://googleonlinesecurity.blogspot.com/2007/06/web-server-software-and-malw... 66% - Apache, 23% - IIS, 4% у nginx и еще 7% - остальные. так что - немало. ну и например Рамблер им активно пользуется на своих серверах.

vden ★★
()
Ответ на: комментарий от KRoN73

это да.
Игорь Сысоев (автор nginx) писал, что немало удивлен тем, что у неткрафта nginx получил 0,19%, а у Гугла - все 4.
видимо как-то по-разному считают.

vden ★★
()
Ответ на: комментарий от proforg

> Было по меньшей мере 2: одна связанная с fastcgi как раз и X-Accel-Redirect, года полтора назад

Это я ее и обнаружил, но там нельзя сказать что это security bug в nginx - для использования уязвимости были необходимы 1) специальный кривой php скрипт 2) php < 4.4.2, с непофиксеным "Prevent header injection by limiting each header to a single line" См http://www.php.net/ChangeLog-4.php

А что там в IE даже не помню.. Но раз проявлялось только с ним, вряд ли это проблема в nginx.

an
()
Ответ на: комментарий от Aesthete

> Ох уж эти не.нные мегакодеры... Мож это просто ваш код гавно, а?

Сударь, мой код доступен для просмотра и использования всем желающим. Я готов принять любую конструктивную критику касательно его качества.

А в lighttpd - просто каша. Посмотрите для сравнения nginx, опять же. Там есть чему поучиться.

an
()

а где же ответ от "самого серверного" debian? дернул же меня черт связаться с этими тормозами!

anonymous
()
Ответ на: комментарий от an

> А в lighttpd - просто каша. Посмотрите для сравнения nginx, опять
же. Там есть чему поучиться.

Посмотрите код mathopd. Там есть чему поучиться даже nginx'у.
Кстати, реальная (ещё более лёгкая) альтернатива lighttpd.
Пуленепробиваемая вещь. Поставил и забыл. Фигни, типа WebDAV
нет, SSL через проксик.

annonymous ★★
()
Ответ на: комментарий от annonymous

>> Посмотрите код mathopd. Там есть чему поучиться даже nginx'у.
>> Кстати, реальная (ещё более лёгкая) альтернатива lighttpd.
>> Пуленепробиваемая вещь.
Естественно, смотрел. Именно с него, по совету an, перешли на nginx (он как раз появился ) - когда он перестал справляться с нагрузкой, и гибкости его конфигурации и возможностей перестало хватать.

proforg
()
Ответ на: комментарий от annonymous

> Посмотрите код mathopd. Там есть чему поучиться даже nginx'у. Кстати, реальная (ещё более лёгкая) альтернатива lighttpd. Пуленепробиваемая вещь. Поставил и забыл. Фигни, типа WebDAV нет, SSL через проксик.

Не говорите чушь. Эта поделка на 170 килобайт не умеет даже kqueue и epoll.

an
()
Ответ на: комментарий от vden

> >как можно более легковесное и с теми же фичами (WebDAV как минимум).

> посмотрите nginx, там все это есть.

Увы и ах но nginx не поддерживает WebDAV в полной мере (не реализована команда OPTIONS) из-за чего ни один вменяемый WebDAV клиент не может смонтировать/получить список файлов с шары. А у Сысоева никак руки не доходят это реализовать.

Darkman ★★★
()

Давно известно что lighthttpd дыряв как дуршлаг - кто его еще пользует?

kpblca
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.