https://opennet.me/openforum/vsluhforumID3/125472.html Найден новый вектор атаки на http-сервер Apache, который остался неисправленным в обновлении 2.4.50 и позволяет получить доступ к файлам из областей вне корневого каталога сайта. Кроме того, исследователями найден способ, позволяющий при наличии определённых нестандартных настроек не только прочитать системные файлы, но и удалённо выполнить свой код на сервере. Проблема проявляется только в выпусках 2.4.49 и 2.4.50, более ранние версии уязвимости не подвержены. Для устранения нового варианта уязвимости оперативно сформирован выпуск Apache httpd 2.4.51...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=55939<br> https://opennet.me/openforum/vsluhforumID3/125472.html#92 Wed, 13 Oct 2021 05:15:50 GMT Такой вот уровень программистов поколения растаманов.<br> https://opennet.me/openforum/vsluhforumID3/125472.html#91 Tue, 12 Oct 2021 04:48:56 GMT вот прокси пусть и делает. Никто тебе не гарантирует что урл ../../что-то вообще допустим на этом сайте - даже если в принципе путь такой есть и находится внутри дерева сайта.<br><br>Это не файловая система.<br><br>Если прокси вместо правильного урла нафантазировал билиберду - пусть пользователь его и чинит себе.<br><br> https://opennet.me/openforum/vsluhforumID3/125472.html#90 Mon, 11 Oct 2021 08:52:01 GMT Какие то извращенцы.. Зачем соваться блокировать 2Е в URI, кстати проделывая лишнюю работу, когда можно перехватив работу с путями за счет кеширования еще и быстродействие поднять.<br>Да, я не смотрел детали, что там сейчас в Apache, но веб серверы писал, и мне странно читать про такие ляпы, и костыльные подпорки особенно.<br> https://opennet.me/openforum/vsluhforumID3/125472.html#89 Sun, 10 Oct 2021 14:25:20 GMT &gt; зачем они делают двойное декодирование<br><br>если клиент сидит за семью проксями, то придется делать<br>и восьмипроходное декодирование (нормализацию).<br>в общем случае, пока предыдущий_результат != новый_результат.<br> https://opennet.me/openforum/vsluhforumID3/125472.html#88 Sat, 09 Oct 2021 11:34:44 GMT Правильно, но все это мотивировалось чем, тем, что у кого-то было не так. Другой стороне казалось, что вот сейчас...и счастье.<br>Разница только в обьеме переедания...<br><br>Вот так и нам с тобой сейчас кажется, что эти совсем ппц и крах цивилизации. Оно так-то небезосновательно нам кажется! Но истина всегда где-то между...<br>Во все времена подобное было. Пока разруливалось.<br><br>Просто ты по-духу воин и конечно смотреть тебе на все это смрадно. Но будь все воины...сам понимаешь. Давно бы нас никого не осталось. Тут баланс важен!<br> https://opennet.me/openforum/vsluhforumID3/125472.html#87 Sat, 09 Oct 2021 11:29:06 GMT &gt; к 2.2 почти все уже встало на свои места<br><br>Возможно. К 2.2 я уже полностью перелез на nginx. В принципе, сменил одни грабли на другие, да, но там хотя бы код куда менее объемный (был), и логику одного разработчика куда проще понять, чем логику десятков.<br> https://opennet.me/openforum/vsluhforumID3/125472.html#86 Sat, 09 Oct 2021 11:26:11 GMT Ох, пляски вокруг lingering sockets - это вообще следствие родовой травмы http.<br>С аплоадом вроде как придумали 100 Continue, но ни один браузер так и не поддерживает до сих пор.<br> https://opennet.me/openforum/vsluhforumID3/125472.html#85 Sat, 09 Oct 2021 11:12:48 GMT &gt; Войны приходили тогда, когда народ пережирал смуззи. <br><br>да нет, откуда. Готские войны - банально жрать нечего. Обоим сторонам. Кто были посытее, голодных перебили. Мавританское завоевание - [предпоследнего] тяжело больного короля убили в постели "потому что некто враждебный ему убрал от него оружие" - вот ета жизть, эт я понимаю, умирающий не может отпустить оружия, чтоб не умереть прямщас. Смузи тут пить некогда и негде. <br><br>И там куда не плюнь, где вообще внятная письменная история осталась. <br><br> https://opennet.me/openforum/vsluhforumID3/125472.html#84 Sat, 09 Oct 2021 11:05:30 GMT Дополню себя.<br><br>&gt;Ну а ежели цикл будет нарушен, нам точно хана.<br><br>В след итерации есть шанс изменить ход.<br>