Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Новая версия nginx 1.27.0 c устранением 4 уязвимостей в реализации HTTP/3"	+/–
Сообщение от opennews (??), 29-Май-24, 19:58
Представлен первый выпуск новой основной ветки nginx 1.27.0, в рамках которой будет продолжено развитие новых возможностей. Одновременно сформирован выпуск nginx 1.26.1, относящийся к параллельно поддерживаемой стабильной ветке, в которую  вносятся только изменения, связанные с устранением серьёзных ошибок и уязвимостей. В следующем году на базе основной ветки 1.27.x будет сформирована стабильная ветка 1.28. Код проекта написан на языке Си и распространяется под лицензией BSD... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=61269
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по времени | RSS]

1. "Новая версия nginx 1.27.0 c устранением 4 уязвимостей в реал..."	+4 +/–
Сообщение от Аноним (1), 29-Май-24, 19:58
Опять CVE для дев ветки? Дунин опять уйдёт из F5?
Ответить | Правка | Наверх | Cообщить модератору

	22. "Новая версия nginx 1.27.0 c устранением 4 уязвимостей в реал..."	+1 +/–
	Сообщение от Аноним (-), 30-Май-24, 00:33
	> Опять CVE для дев ветки? > Дунин опять уйдёт из F5? Конечно! Но только после того, как заберет патчи в свою Свободную™ версию
	Ответить | Правка | Наверх | Cообщить модератору

2. "Новая версия nginx 1.27.0 c устранением 4 уязвимостей в реал..."	+4 +/–
Сообщение от morphe (?), 29-Май-24, 20:52
Тем временем реализация на Rust модуля quic под nginx от cloudflare давно работает в проде, и не имеет известных уязвимостей
Ответить | Правка | Наверх | Cообщить модератору

	3. "Новая версия nginx 1.27.0 c устранением 4 уязвимостей в реал..."	–1 +/–
	Сообщение от Аноним (3), 29-Май-24, 20:54
	> работает в проде > не имеет известных уязвимостей Это ещё не аргумент в пользу модных язычков.
	Ответить | Правка | Наверх | Cообщить модератору

	38. "Новая версия nginx 1.27.0 c устранением 4 уязвимостей в реал..."	+2 +/–
	Сообщение от Аноним (-), 30-Май-24, 11:04
	> Это ещё не аргумент в пользу модных язычков. Конечно! Нужно использовать древнейший копролитный язык, и проект на нем, в котором точно есть известные уязвимости! Их же можно будет искать и исправлять десятилетиями. Заодно без работы не останутся)
	Ответить | Правка | Наверх | Cообщить модератору

	4. "Новая версия nginx 1.27.0 c устранением 4 уязвимостей в реал..."	+/–
	Сообщение от Аноним (4), 29-Май-24, 21:17
	>не имеет известных уязвимостей Ну ничего, зато неизвестные на месте, учитывая количество unsafe блоков в ржавых проектах.
	Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

	18. "Новая версия nginx 1.27.0 c устранением 4 уязвимостей в реал..."	–2 +/–
	Сообщение от Аноним (3), 29-Май-24, 23:50
	Ну найдите хоть одну :) Код на сишке — это 100% unsafe. Код на rust с одним unsafe на 1000 строк — 0.1% unsafe.
	Ответить | Правка | Наверх | Cообщить модератору

	5. "Новая версия nginx 1.27.0 c устранением 4 уязвимостей в реал..."	–1 +/–
	Сообщение от Аноним (5), 29-Май-24, 21:30
	Тем временем клоунфларе с помощью ресурсов типа ценсис и днсдампстер обходится с вероятностью процентов 80.
	Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

	8. "Новая версия nginx 1.27.0 c устранением 4 уязвимостей в реал..."	–1 +/–
	Сообщение от Аноним (8), 29-Май-24, 22:38
	> с вероятностью процентов 80 Показывай, как рассчитывал. И заодно расскажи, как тебе эти погремушки помогают пробить фаерволл и mTLS. Обожаю опеннетных кекспертов, от кого ещё узнаешь о чём пацаны за гаражами болтают?
	Ответить | Правка | Наверх | Cообщить модератору

	17. "Новая версия nginx 1.27.0 c устранением 4 уязвимостей в реал..."	+/–
	Сообщение от Аноним (3), 29-Май-24, 23:49
	Если злоумышленники знают ваш внешний адрес, на который ходит cloudflare, они могут легко залить вас трафиком, и никакой фаервол вам не поможет. И cloudflare сможет только показать, что конечный сервер недоступен.
	Ответить | Правка | Наверх | Cообщить модератору

	23. "Новая версия nginx 1.27.0 c устранением 4 уязвимостей в реал..."	+/–
	Сообщение от Аноним (8), 30-Май-24, 01:47
	> Если злоумышленники знают > Если А если не знают? Да и откуда им его узнать, если эндпоинт ником кроме CF не отвечает?
	Ответить | Правка | Наверх | Cообщить модератору

	35. "Новая версия nginx 1.27.0 c устранением 4 уязвимостей в реал..."	+/–
	Сообщение от Аноним (5), 30-Май-24, 10:20
	Исключительно ежедневная практика и статистика. Судя по тому, что ты написал ты в принципе не понимаешь как WAF такого типа работает и что за ценсис с днсдампстером. Так что теоретизируй на кафедре с другими всезнайками дальше.
	Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

	53. "Новая версия nginx 1.27.0 c устранением 4 уязвимостей в реал..."	+1 +/–
	Сообщение от Аноним (8), 30-Май-24, 19:00
	> Исключительно ежедневная практика и статистика. Стало быть точно пацаны за гаражами рассказывали. Ни ценсис, ни днсдампер тебе никак не помогут найти бэкэнд за «WAF такого типа», при условии, что всё настроено по BCP. Я это на практике знаю, так как всех своих клиентов первым делом подключаю к публичному интернету через CF, специально чтобы школьники с ценсисом в логах не шумели. Но даже если я перечислю все подсети, тебе это всё равно никак не поможет. Трафик тупо заблэкхолится на границе AS наших аплинков.
	Ответить | Правка | Наверх | Cообщить модератору

	15. "Новая версия nginx 1.27.0 c устранением 4 уязвимостей в реал..."	–1 +/–
	Сообщение от Аноним (15), 29-Май-24, 22:57
	ну всё просто. любая программа имеет уязвимости особенно новая. если они не найдены то она просто никому не нужна
	Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

	25. "Новая версия nginx 1.27.0 c устранением 4 уязвимостей в реал..."	+/–
	Сообщение от Аноним (25), 30-Май-24, 03:26
	О, а можно ссылку на то как это завести.
	Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

	43. "Новая версия nginx 1.27.0 c устранением 4 уязвимостей в реал..."	–1 +/–
	Сообщение от Аноним (-), 30-Май-24, 11:52
	> Тем временем реализация на Rust модуля quic под nginx от cloudflare давно > работает в проде, и не имеет известных уязвимостей Так новостей про "просто работает" много не насочиняешь) Разве что "вышла новая версия", да и в комментах будет уныло. А вот новость про типичную дырку "шел по буферу, считать не научился, вышел за пределы, все сломал" соберет кучу комментов. А веселые обсуждения, это хорошо)
	Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

7. "Новая версия nginx 1.27.0 c устранением 4 уязвимостей в реал..."	–1 +/–
Сообщение от Аноним (8), 29-Май-24, 22:30
> налажена сборка в NetBSD Нужность примерно такая же, как и у самого форка. Как нельзя лучше иллюстрирует мой тезис о том, что «без корпоративного вмешательства» программисты будут бесконечно оптимизировать тулчейн.
Ответить | Правка | Наверх | Cообщить модератору

	13. "Новая версия nginx 1.27.0 c устранением 4 уязвимостей в реал..."	+1 +/–
	Сообщение от Аноним (13), 29-Май-24, 22:47
	И чего? Есть в ТЗ поддержка нетбсд, программист взял тикет, закрыл. Причина тряски? Или ты не знаешь как работают команды людей?
	Ответить | Правка | Наверх | Cообщить модератору

	20. "Новая версия nginx 1.27.0 c устранением 4 уязвимостей в реал..."	+1 +/–
	Сообщение от Аноним (8), 30-Май-24, 00:25
	> Есть в ТЗ поддержка нетбсд > Или ты не знаешь как работают команды людей? Как команды работают я знаю очень хорошо, и потому с уверенностью могу сказать, что в ТЗ поддержки NetBSD нет и быть не может, потому что не существует валидного бизнес-кейса для поддержки маргинальных ОС.
	Ответить | Правка | Наверх | Cообщить модератору

	27. "Новая версия nginx 1.27.0 c устранением 4 уязвимостей в реал..."	+1 +/–
	Сообщение от Аноним (27), 30-Май-24, 03:46
	А какое ваше дело, чем человек занимается в свое свободное время? Он вам что-то должен? Долговая расписка есть?
	Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

	54. "Новая версия nginx 1.27.0 c устранением 4 уязвимостей в реал..."	+/–
	Сообщение от Аноним (8), 30-Май-24, 19:02
	Так это всё-таки хобби-проект, как и предполагалось изначально. А чего тогда Дунин пыжился, мол, ещё неизвестно кто форк? Цену себе набивал?
	Ответить | Правка | Наверх | Cообщить модератору

16. "Новая версия nginx 1.27.0 c устранением 4 уязвимостей в реал..."	+1 +/–
Сообщение от Аноним (15), 29-Май-24, 23:22
почему бы не стандартизировать интерфейс для подобных протоколов и потом браузер сначала скачивает с сервера и кеширует код для протокола запускает его и дальше работает как задумано.
Ответить | Правка | Наверх | Cообщить модератору

	50. "Новая версия nginx 1.27.0 c устранением 4 уязвимостей в реал..."	+/–
	Сообщение от Аноним (50), 30-Май-24, 16:00
	Стандартизация подразумевает множество реализации. А догорняк – реализации тех, кого надо и с кем надо договориться. Потом у них все возьмут и будут сверяться как с эталоном. И так много западных технологий работают.
	Ответить | Правка | Наверх | Cообщить модератору

19. Скрыто модератором	–1 +/–
Сообщение от Аноним (-), 30-Май-24, 00:18
уязвимости вызваны: > обращением к уже освобождённой памяти (use-after-free), > неверным выделением памяти под массив, > разыменованием нулевого указателя > отсутствием должной проверки размера помещаемых в буфер данных. Охохо! Классическое дыряшечное бинго! Никогда такого не было, и вот опять!
Ответить | Правка | Наверх | Cообщить модератору

	34. Скрыто модератором	+/–
	Сообщение от Ann (??), 30-Май-24, 09:48
	Напиши уже себе уже аналог на rust и пользуйся им на какой-нибудь redox. Зачем тебе новость о программе на сях?
	Ответить | Правка | Наверх | Cообщить модератору

	37. Скрыто модератором	–1 +/–
	Сообщение от Аноним (-), 30-Май-24, 10:38
	> Зачем тебе новость о программе на сях? Это не просто новость о программе на сях. Это новость об очередной порции классических сишных дырений. Причем настолько классических, что для некоторых завели отдельные категории cve))) Но ты почему-то начал приплетать раст. Почему?) > Напиши уже себе уже аналог на rust Уже написан клаудфарей. И редокс тебе не нужен - оно прекрасно работает на линуксе. Просто не весь народ о нем знает. Им нужно просто об этом рассказать. А где это лучше делать как не в новости про то, что использование сишных программ может привести к "аварийному завершению рабочего процесса nginx" как минимум, и "потенциальной возможности выполнения кода атакующего" как максимум. Видя непрекращающийся поток сишных уязвимостей и тотальную необучаемость сишников, люди чуть поумнеют и начнут стараться обходить сишный софт стороной при наличии аналогов. Разве это не прекрасно?))
	Ответить | Правка | Наверх | Cообщить модератору

	44. Скрыто модератором	+/–
	Сообщение от Аноним (44), 30-Май-24, 11:53
	Никто не видел твой клаудфлер. А вот на Go написаны настоящие современные веб сервера которые реально можно пощупать и даже код почитать.
	Ответить | Правка | Наверх | Cообщить модератору

	49. Скрыто модератором	+/–
	Сообщение от Аноним (-), 30-Май-24, 14:49
	> Никто не видел твой клаудфлер. А вот на Go написаны настоящие современные > веб сервера которые реально можно пощупать и даже код почитать. Печально что гошники настолько недалекие, что не могут найти проект на гитхабе. На, держи github.com/cloudflare/pingora Можешь и пощупать, и код почитать! С другой стороны это не удивительно, сам один из создателей го писал, что язык создавался... ну, скажем так, не для выдающихся разработчиков))), а чтобы каждый тупенький мог на нем писать.
	Ответить | Правка | Наверх | Cообщить модератору

	42. Скрыто модератором	+/–
	Сообщение от Аноним (44), 30-Май-24, 11:51
	Самоутвердиться же своих достижений у него нет.
	Ответить | Правка | К родителю #34 | Наверх | Cообщить модератору

21. "Новая версия nginx 1.27.0 c устранением 4 уязвимостей в реал..."	+/–
Сообщение от Анонин (-), 30-Май-24, 00:29
Фиксы как всегда шикарны)) + qb->last_chain = NULL; Ну забыли занулить, бывает, дело то житейское) - elts = ngx_alloc(max * sizeof(void *), c->log); + elts = ngx_alloc((max + 1) * sizeof(void *), c->log); Не умеем считать размер выделяемой памяти начиная с 1972 года... + st->value.data = (u_char *) ""; Зачем инициализировать данные, если можно про это забыть. Дважды! + if ((size_t) (end - p) < len) Проверка входных данных - это особое тайное знание. О котором большинство сишников даже не догадывается... Отдельное спасибо автору новости, который не поленился привести ссылки на их гит для каждой из уязвимостей.
Ответить | Правка | Наверх | Cообщить модератору

	24. "Новая версия nginx 1.27.0 c устранением 4 уязвимостей в реал..."	–1 +/–
	Сообщение от Rev (?), 30-Май-24, 02:39
	Да, такое впечатление, что писано жопой. Или студентами. А сколько вою на болотах стоит на тему "скиллы всё решают, раст не нужен"!
	Ответить | Правка | Наверх | Cообщить модератору

	32. "Новая версия nginx 1.27.0 c устранением 4 уязвимостей в реал..."	+1 +/–
	Сообщение от Tron is Whistling (?), 30-Май-24, 09:23
	Да он и не нужен, независимо от прочих факторов.
	Ответить | Правка | Наверх | Cообщить модератору

	40. "Новая версия nginx 1.27.0 c устранением 4 уязвимостей в реал..."	+/–
	Сообщение от Аноним (44), 30-Май-24, 11:50
	Только все нормальные веб серверы написаны на Go. Раст отстал в этом плане на миллион лет от нормальных языков.
	Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

	28. "Новая версия nginx 1.27.0 c устранением 4 уязвимостей в реал..."	+1 +/–
	Сообщение от Аноним (27), 30-Май-24, 03:50
	Это модуль в стадии разработки. На сайте английским (да и русским) по белому написано, что для продакшена не готово. Ну, Сысоев с Дуниным, конечно, лучше писали и с первого раза, но они вообще среди лучших. Но и тут нормально, до релиза нашли и исправили, всё хорошо.
	Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

	55. "Новая версия nginx 1.27.0 c устранением 4 уязвимостей в реал..."	+/–
	Сообщение от Аноним (8), 01-Июн-24, 17:50
	Сысоев и Дунин, возможно, хорошие кодеры, но время показало в очередной раз, что даже самые лучшие кодеры в лучшем случае посредственные программисты, и совсем никакие архитекторы. Подробности о плохом дизайне Nginx можно почитать да хоть у тех же CloudFlare, которые в отличие от местных анонимов с вэпээсочкой за два евро в месяц использовали Nginx в проде в хвост и в гриву.
	Ответить | Правка | Наверх | Cообщить модератору

	29. "Новая версия nginx 1.27.0 c устранением 4 уязвимостей в реал..."	+/–
	Сообщение от Аноним (29), 30-Май-24, 05:42
	Так надо было на С++ писать сразу. Raii и всё.
	Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

	41. "Новая версия nginx 1.27.0 c устранением 4 уязвимостей в реал..."	+/–
	Сообщение от Аноним (44), 30-Май-24, 11:51
	И как ты потом будешь мериться синтетикой которая будет показывать дико плохие результаты?
	Ответить | Правка | Наверх | Cообщить модератору

	31. "Новая версия nginx 1.27.0 c устранением 4 уязвимостей в реал..."	+1 +/–
	Сообщение от Совершенно другой аноним (?), 30-Май-24, 09:12
	> + st->value.data = (u_char *) ""; > Зачем инициализировать данные, если можно про это забыть. Дважды! Ну, Вы вот тоже не смогли до 3-рёх посчитать...
	Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема