Доступен (http://mailman.nginx.org/pipermail/nginx-ru-announce/2016/00...) выпуск основной ветки высокопроизводительного HTTP-сервера nginx 1.11.1 и стабильной ветки nginx 1.10.1 (http://mailman.nginx.org/pipermail/nginx-ru-announce/2016/00...), в которых устранена уязвимость (CVE-2016-4450 (https://security-tracker.debian.org/tracker/CVE-2016-4450)), позволяющая инициировать крах рабочего процесса из-за разыменования нулевого указателя при записи во временный файл тела специально созданного запроса. Проблема проявляется начиная с выпуска 1.3.9. Патч (http://nginx.org/download/patch.2016.write.txt) для nginx с 1.9.13 по 1.11.0. Патч (http://nginx.org/download/patch.2016.write2.txt) для  nginx с 1.3.9 по 1.9.12.

URL: http://mailman.nginx.org/pipermail/nginx-announce/2016/00017...
Новость: http://www.opennet.dev/opennews/art.shtml?num=44524

• Обновление nginx 1.10.1 и 1.11.1 с устранением уязвимости,Какаянахренразница, 06:40 , 01-Июн-16
  • Обновление nginx 1.10.1 и 1.11.1 с устранением уязвимости,Andrey Mitrofanov, 06:43 , 01-Июн-16
    • Обновление nginx 1.10.1 и 1.11.1 с устранением уязвимости,Какаянахренразница, 06:54 , 01-Июн-16
      • Обновление nginx 1.10.1 и 1.11.1 с устранением уязвимости,Ккк, 08:54 , 01-Июн-16
        • Обновление nginx 1.10.1 и 1.11.1 с устранением уязвимости,Какаянахренразница, 20:27 , 01-Июн-16
          • Обновление nginx 1.10.1 и 1.11.1 с устранением уязвимости,Аноним, 12:23 , 03-Июн-16
            • Обновление nginx 1.10.1 и 1.11.1 с устранением уязвимости,Какаянахренразница, 09:54 , 06-Июн-16
      • Обновление nginx 1.10.1 и 1.11.1 с устранением уязвимости,eRIC, 11:51 , 01-Июн-16
        • Обновление nginx 1.10.1 и 1.11.1 с устранением уязвимости,Аноним, 02:26 , 02-Июн-16
        • Обновление nginx 1.10.1 и 1.11.1 с устранением уязвимости,Какаянахренразница, 09:54 , 06-Июн-16
      • Обновление nginx 1.10.1 и 1.11.1 с устранением уязвимости,й, 19:02 , 01-Июн-16
        • Обновление nginx 1.10.1 и 1.11.1 с устранением уязвимости,Какаянахренразница, 20:24 , 01-Июн-16
          • Обновление nginx 1.10.1 и 1.11.1 с устранением уязвимости,й, 23:05 , 01-Июн-16
            • Обновление nginx 1.10.1 и 1.11.1 с устранением уязвимости,Какаянахренразница, 06:37 , 02-Июн-16
              • Обновление nginx 1.10.1 и 1.11.1 с устранением уязвимости,й, 15:37 , 02-Июн-16
                • Обновление nginx 1.10.1 и 1.11.1 с устранением уязвимости,Какаянахренразница, 09:50 , 06-Июн-16
          • Обновление nginx 1.10.1 и 1.11.1 с устранением уязвимости,Аноним, 01:49 , 03-Июн-16
            • Обновление nginx 1.10.1 и 1.11.1 с устранением уязвимости,Какаянахренразница, 09:44 , 06-Июн-16
• Обновление nginx 1.10.1 и 1.11.1 с устранением уязвимости,ALex_hha, 08:13 , 01-Июн-16
• Обновление nginx 1.10.1 и 1.11.1 с устранением уязвимости,Аноним, 09:56 , 01-Июн-16
  • Обновление nginx 1.10.1 и 1.11.1 с устранением уязвимости,Какаянахренразница, 20:31 , 01-Июн-16
• Обновление nginx 1.10.1 и 1.11.1 с устранением уязвимости,й, 18:59 , 01-Июн-16
  • Обновление nginx 1.10.1 и 1.11.1 с устранением уязвимости,Аноним, 02:29 , 02-Июн-16
  • Обновление nginx 1.10.1 и 1.11.1 с устранением уязвимости,Andrey Mitrofanov, 07:36 , 02-Июн-16
• Обновление nginx 1.10.1 и 1.11.1 с устранением уязвимости,Аноним, 13:04 , 31-Мрт-22
• Обновление nginx 1.10.1 и 1.1э21.1 с устранением уязвимости,Аноним, 13:06 , 31-Мрт-22

Зачастили как-то релизы nginx-а...

> Зачастили как-то релизы nginx-а...

Вам привет https://en.wikipedia.org/wiki/Release_early,_release_often от папы опенсура.

Спасибо. Папе тоже от нас привет. Мы его читали и уважаем.
----------------------
А коммент по поводу nginx-a -- это выражение душевного смятения. Неспокойствия на сердце. Навязчивой пульсации в мозгу. Гнетущего состояния. Зудящей мысли.

"Обновляться или ждать? Обновляться или ждать? Обнов... " Ну вы поняли.

Не мучайтесь, у многих нжинкс вообще какой поставили, такой и стоит (у меня например 1.4.x) из реп убунцы, в моих предыдущих компаниях тоже как-то особо не парились вопросом обновлений, кроме того есть куда более интересный способ потратить время, чем думать обновляться или нет, да и обновление тож неособо интересное занятие само по себе

Не, мне на 1.4 никак нельзя. Разрабы nginx-а пилят хорошие фичи и пишут аппетитные чейнжлоги. Читаю и начинаю хотеть. Добавили SPDY? Надо попробовать! Добавили http/2? И мне надо!

Вот так и мучаюсь.

Дык пробовать надо на котятах а не на продакшене. ;)

> Дык пробовать надо на котятах а не на продакшене. ;)

Правильно. Но 1.4 -- всё равно не вариант :-)

обновляетесь, тем более с обновлением nginx'а нет никаких проблем :)

Кроме того что там периодически переделывают конфиг и старые конфиги работать перестают, очень наглядно показывая почему дистры ориентированные на продакшн очкуют подтягивать версии.

> обновляетесь, тем более с обновлением nginx'а нет никаких проблем :)

Сцыкотно, сэр.

в смысле? используйте stable-репу от nginx (сейчас это 1.10), если хотите stable. и авто-обновление из этой репы по крону.

Если мне не изменярт склероз, то в последний раз, когда я устанавливал nginx из их репы, у меня отвалился geoip.

http://nginx.org/ru/docs/http/ngx_http_geoip_module.html
> По умолчанию этот модуль не собирается, его сборку необходимо разрешить с помощью конфигурационного параметра --with-http_geoip_module.

неудивительно.

А я и не удивляюсь. Я просто не юзаю официальный репозиторий.

кстати, этой проблемы уже нет: http://nginx.org/ru/linux_packages.html

> Начиная с версии 1.9.11, nginx поддерживает динамические модули. В настоящее время следующие модули собираются как динамические и поставляются в виде отдельных пакетов:
> * nginx-module-geoip

Поскольку я в настоящий момент не юзаю офиц. репозиторий, то тамошние проблемы меня не огорчают, а их геройское решение -- не радует. Ну, вынесли в отдельный пакет, и ладно.

Он не отвалился, а был вынесен в отдельный динамический модуль - как только эта поддержка появилась. Про это было написано... примерно везде.

Или вы всегда сначала обновляетесь, а потом читаете changelog? :)

У меня он именно "отвалился". Я юзал сборку из другой репы и оно было "искаропки". Потом решил попробовать офиц. репу -- обновился, ужаснулся и вернулся на launchpad.

Да, можно было докопаться до причин, поставить недостающий пакет и завести пепелац. Но когда вебсервер встал колом, не особо есть желание искать причины. Пакет из другой репы работает -- ну и слава богу.

Думаю, все зависит от исправлений. Если это мелкие багфиксы, то не обязательно все бросать и сразу обновляться. Или исправления в модуле, который у вас вообще не используется. А если это ядро и базывае модули, да еще какой-нибудь RCE, то думаю вопрос снимается

вообще в бубунте обновляется автоматом и весьма неплохо.

> вообще в бубунте обновляется автоматом и весьма неплохо.

Как бы с таким обновлением не проснуться с автоматом у виска...

ссылка классная:
> wheezy (security), wheezy    1.2.1-2.2+wheezy4
> [wheezy] - nginx <not-affected> (Introduced in 1.3.9)

т.е. используйте протухший софт и вам будет счастье.

> т.е. используйте протухший софт и вам будет счастье.

Это до некоторой степени правда. Если ты возьмешь Win 3.11 или там полуось какую-нибудь и столь же свежий вебсервер, есть высокая вероятность что ни один хакер вообще не вспомнит как это ломать. Если у тебя есть что-то сильно интересное, тебя это не спасет, но все-таки.

> т.е. используйте протухший софт и вам будет счастье.

Не, не так. Не используйте дрист-релизы и не страдайте по маркетинговым бусам.

И не будет так мучительно. Как Вам и "активисту" из #1...

Испоавить ошибку 404

Исправить ошибку 404