The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Обновления nginx 1.26.2 и 1.27.1 с устранением DoS-уязвимости в ngx_http_mp4_module"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Обновления nginx 1.26.2 и 1.27.1 с устранением DoS-уязвимости в ngx_http_mp4_module"  +/
Сообщение от opennews (??), 14-Авг-24, 22:46 
Сформирован выпуск основной ветки nginx 1.27.1, в рамках которой продолжается развитие новых возможностей, а также выпуск параллельно поддерживаемой стабильной ветки nginx 1.22.1, в которую вносятся только изменения, связанные с устранением серьёзных ошибок и уязвимостей. В обновлениях устранена уязвимость (CVE-2024-7347) в модуле ngx_http_mp4_module, приводящая к аварийному завершению рабочего процесса при обработке специально оформленного файла в формате MP4. Проблема проявляется начиная с выпуска 1.5.13 при сборке nginx с модулем ngx_http_mp4_module (не собирается по умолчанию) и использовании в настройках директивы mp4. Для устранения уязвимости в старых версиях можно использовать патч...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=61704

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Обновления nginx 1.26.2 и 1.27.1 с устранением DoS-уязвимост..."  –1 +/
Сообщение от Аноним (1), 14-Авг-24, 22:46 
Это как допиливание жигулей. Как зеркала не меняй это все равно Жигули и лучше не станет.
Ответить | Правка | Наверх | Cообщить модератору

4. "Обновления nginx 1.26.2 и 1.27.1 с устранением DoS-уязвимост..."  +/
Сообщение от Аноним (4), 14-Авг-24, 22:59 
зато это твои жигули, полностью контролируемые.
Ответить | Правка | Наверх | Cообщить модератору

7. "Обновления nginx 1.26.2 и 1.27.1 с устранением DoS-уязвимост..."  +2 +/
Сообщение от Аноним (7), 15-Авг-24, 00:07 
https://github.com/cloudflare/pingora
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

18. "Обновления nginx 1.26.2 и 1.27.1 с устранением DoS-уязвимост..."  +2 +/
Сообщение от Аноним (18), 15-Авг-24, 05:49 
всё круто, только это фреймворк, а не готовое изделие. с таким же успехом можно h2o рассматривать.
Ответить | Правка | Наверх | Cообщить модератору

39. "Обновления nginx 1.26.2 и 1.27.1 с устранением DoS-уязвимост..."  +/
Сообщение от Аноним (7), 15-Авг-24, 18:54 
https://www.netcraft.com/blog/july-2024-web-server-survey/
Ответить | Правка | Наверх | Cообщить модератору

22. "Обновления nginx 1.26.2 и 1.27.1 с устранением DoS-уязвимост..."  –1 +/
Сообщение от Аноним (22), 15-Авг-24, 07:42 
>Это как допиливание жигулей.

На жигу можно поставить АКПП, электро усилитель руля, кондиционер и можно ездить с относительным комфортрм, пока не накопил на Мерседес.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

31. "Обновления nginx 1.26.2 и 1.27.1 с устранением DoS-уязвимост..."  +/
Сообщение от пох. (?), 15-Авг-24, 10:24 
пока не нае...нется.

То есть, недолго.

Поправил, не благодари.

Ответить | Правка | Наверх | Cообщить модератору

38. "Обновления nginx 1.26.2 и 1.27.1 с устранением DoS-уязвимост..."  +/
Сообщение от Аноним (38), 15-Авг-24, 18:21 
После покупки жигулей, тебе уже на мерседес не накопить, только и будешь отстёгивать сервисменам.
Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

49. "Обновления nginx 1.26.2 и 1.27.1 с устранением DoS-уязвимост..."  +/
Сообщение от нах. (?), 19-Авг-24, 12:19 
наоборот, единственное достоинство этой ржавчины - что запчасти стоят по пиццотржублев а не по пять тыщ.

то что оно без конца у тебя ломается и не едет - не проблема для жителей дальних заж*псков, ездящих по кругу вокруг единственной заправки, и то медленно, потому что можно колеса оторвать.

Я тут съездил вон в одно такое место - куда чтоб забраться на то что они там называют дорогой, приходилось понижайку включать. А местные - на жигуляторах, да. Ну да, после поездочки на два километра (как раз до заправки и прочих центров цивилизации) они у себя в огороде чота-там херачат пол-дня молотком. Время их тоже ничего ведь не стоит. Во всяком случае, не так дорого как убитые аморты мерседеса.

Мне поездочка встала - в 70000 (и это нихрена не мерс). Ну ладно, генератор надо было до отъезда выкинуть а не после, хотя до той дороги вообще-то ничем не воняло. Но опять же - у жегулятора этот генератор ничего не стоит потому что вон их пять поюзанных но недобитых в сарае валяется. (почему пять - потому что их пять разных и без напильника один вместо другого не ставится)

Замена вечногорящей прокладки блока - тоже три копейки и полтора часа е..ли если есть где голову шлифануть. А если нет то "и так сойдет!" (новую тоже пробьет, но не сегодня еще - есть время доехать до места где есть станок) А на твоем мерсе - это замена мерса. Слегка ржавенький но небитый дешевле встанет чем ремонт.

А на 2000 кеме в одну сторону на том жегуле ездить никто и не планировал, им и некуда, и не на что.


Ответить | Правка | Наверх | Cообщить модератору

35. "Обновления nginx 1.26.2 и 1.27.1 с устранением DoS-уязвимост..."  +/
Сообщение от _ (??), 15-Авг-24, 16:52 
> Это как допиливание жигулей.

Это как Ыгспеёрдные оценки от здешних ыгспёрдов, "бессмысленные и беспощадные"(С) :)

PS: Для меня, до сих пор - default http server. ТЧК.
PPS: И да - в отличии от вышеупомянутых Ыгспёрдов, в другие я тоже умею. :)

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

41. "Обновления nginx 1.26.2 и 1.27.1 с устранением DoS-уязвимост..."  +/
Сообщение от Бывалый Смузихлёб (ok), 16-Авг-24, 09:38 
> -    uint32_t               start_sample, chunk, samples, id, next_chunk, n,
> +    uint32_t               start_sample, chunk, samples, id, next_chunk,
> +    uint64_t               n;

Крутой фикс, что сказать. Вот что значит высоколобые гении работают за идею

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

48. "Обновления nginx 1.26.2 и 1.27.1 с устранением DoS-уязвимост..."  +/
Сообщение от нах. (?), 19-Авг-24, 11:51 
это ж фикс F5, какие нафиг идеи?
Только зарплата - поэтому и фикс такое г-но.

n = (uint64_t) (next_chunk - chunk) * samples;

где тут гарантия что оно влезает и в 64?

Ответить | Правка | Наверх | Cообщить модератору

51. "Обновления nginx 1.26.2 и 1.27.1 с устранением DoS-уязвимост..."  +/
Сообщение от Valentin V. Bartenev (?), 19-Авг-24, 13:16 
Достаточно школьной математики:
(2^32 - 1) * (2^32 - 1) = 2^32 * 2^32 - 2^32 - 2^32 + 1 = 2^64 - 2^33 + 1 = (2^64 - 1) - (2^33 - 2) < 2^64 - 1 т.к. 2^33 > 2

Смотрю вы хорошо разобрались во всех внутренностях формата mp4, поэтому ждем от вас не говно фикса.

Ответить | Правка | Наверх | Cообщить модератору

52. "Обновления nginx 1.26.2 и 1.27.1 с устранением DoS-уязвимост..."  +/
Сообщение от нах. (?), 19-Авг-24, 13:50 
> Смотрю вы хорошо разобрались во всех внутренностях формата mp4, поэтому ждем от
> вас не говно фикса.

а надо вот? Я бы проверил что samples вообще находится в каких-то разумных пределах, в предположении что номер чанка уже где-то проверен (ну я надеюсь что такида?) и не стал бы вовсе обрабатывать такой странный файл, ругнувшись на него в лог. Даже если такое позволяет формат - ничего хорошего от дальнейшей обработки подобного чуда ждать не приходится.

А мы вместо этого будем теперь вечно пасти эту 'n' чтоб ненароком (через пару-десяток лет когда уже все забудется и захочется переделывать код) не засунуть ее в uint32

Ответить | Правка | Наверх | Cообщить модератору

46. "Обновления nginx 1.26.2 и 1.27.1 с устранением DoS-уязвимост..."  +1 +/
Сообщение от sysrise (ok), 18-Авг-24, 01:59 
Самому есть чем похвастаться, огласите на всеобщее обозрение и вердикты?
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

2. "Обновления nginx 1.26.2 и 1.27.1 с устранением DoS-уязвимост..."  –2 +/
Сообщение от Аноним (1), 14-Авг-24, 22:48 
Стабильно падающая доля нжинкса лишь подтверждает его отсталость. https://www.netcraft.com/blog/june-2024-web-server-survey/
Ответить | Правка | Наверх | Cообщить модератору

5. "Обновления nginx 1.26.2 и 1.27.1 с устранением DoS-уязвимост..."  +/
Сообщение от Pahanivo пробегал (?), 14-Авг-24, 23:46 
Прастите, а кто по твоему не отсталый? Себя не упоминай.
Ответить | Правка | Наверх | Cообщить модератору

6. "Обновления nginx 1.26.2 и 1.27.1 с устранением DoS-уязвимост..."  –1 +/
Сообщение от Аноним (1), 15-Авг-24, 00:07 
Как ты мог заметить графа other и все знают что это за вебсервера. Каждый хорош для своих задач. Рекламировать я их тут не буду, а то начнется опять. Но хорошо что среди них идёт плотная конкуренция.  
Ответить | Правка | Наверх | Cообщить модератору

10. "Обновления nginx 1.26.2 и 1.27.1 с устранением DoS-уязвимост..."  +/
Сообщение от keydon (ok), 15-Авг-24, 02:36 
> Как ты мог заметить графа other и все знают что это за вебсервера. Каждый хорош для своих задач. Рекламировать я их тут не буду, а то начнется опять. Но хорошо что среди них идёт плотная конкуренция.

Это FreeNginx и Angie!
Анонимный конспиролог никогда так не был близок к провалу.

Ответить | Правка | Наверх | Cообщить модератору

17. "Обновления nginx 1.26.2 и 1.27.1 с устранением DoS-уязвимост..."  +1 +/
Сообщение от Аноним (1), 15-Авг-24, 05:40 
Хорошая попытка пиарщик Анги(ны), но нет.
Ответить | Правка | Наверх | Cообщить модератору

23. "Обновления nginx 1.26.2 и 1.27.1 с устранением DoS-уязвимост..."  +/
Сообщение от Аноним (22), 15-Авг-24, 07:44 
>Рекламировать я их тут не буду, а то начнется опять.

А я попрошу порекламировать, потому что сам не разбираюсь, но зочу понять, какой индустриальный стандарт.

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

28. "Обновления nginx 1.26.2 и 1.27.1 с устранением DoS-уязвимост..."  –2 +/
Сообщение от Аноним (1), 15-Авг-24, 10:02 
Кадди, траефик и ХАпрокси. Выбирай любой.
Ответить | Правка | Наверх | Cообщить модератору

33. "Обновления nginx 1.26.2 и 1.27.1 с устранением DoS-уязвимост..."  –1 +/
Сообщение от Анонист (?), 15-Авг-24, 13:16 
это шутка?
Ответить | Правка | Наверх | Cообщить модератору

36. "Обновления nginx 1.26.2 и 1.27.1 с устранением DoS-уязвимост..."  +/
Сообщение от _ (??), 15-Авг-24, 16:56 
Да, шутка. Ну шутЮт тут так :-|

Эти трое вообще зверьки редкие...
Ну Ок, хапрокси был популярен когда народ облака вручную делал, но сейчас то берут готовое...

Ответить | Правка | Наверх | Cообщить модератору

43. "Обновления nginx 1.26.2 и 1.27.1 с устранением DoS-уязвимост..."  +1 +/
Сообщение от Аноним (1), 17-Авг-24, 11:25 
Да ты и жизни то совсем не видел облака у него, белогривые лошадки.  
Ответить | Правка | Наверх | Cообщить модератору

40. "Обновления nginx 1.26.2 и 1.27.1 с устранением DoS-уязвимост..."  +/
Сообщение от Аноним (40), 16-Авг-24, 00:12 
А близкий родственник openresty растет. То есть не особо и падает, просто слезают с собственно nginx, но не с его кодовой базы.

На самом деле всякие ингрессы в куберах идут частенько на openresty, несмотря на то, что nginx не особо на это рассчитан и не имеет нормального API (а там иногда происходит адовое генерирование конфигов nginx через golang и подстановка всяких весёлых трудночитаемых портянок в lua), тем не менее его и туда с удовольствием засовывают из-за его стабильности и производительности.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

44. "Обновления nginx 1.26.2 и 1.27.1 с устранением DoS-уязвимост..."  +/
Сообщение от Аноним (1), 17-Авг-24, 11:27 
Ты хоть понимаешь что они переходят на этот шлак не от хорошей жизни. Иначе бы остались на нжинксе? Производительность это сказка для детей. И других максималистов.  
Ответить | Правка | Наверх | Cообщить модератору

3. "Обновления nginx 1.26.2 и 1.27.1 с устранением DoS-уязвимост..."  +2 +/
Сообщение от Аноним (3), 14-Авг-24, 22:53 
А что скажет нам начальник транспортного...зачеркнуто, импортозамещательного цеха?

Патч-то, поди, не подходит к angie?

(проверять, конечно же, не буду)

К Максиму, понятно, вопросов нет, у него этот модуль такой же как у всех.

Ответить | Правка | Наверх | Cообщить модератору

8. "Обновления nginx 1.26.2 и 1.27.1 с устранением DoS-уязвимост..."  +4 +/
Сообщение от Аноним (1), 15-Авг-24, 00:08 
Так это хорошо больше денег потратят на дописывания. Из твоего кармана.
Ответить | Правка | Наверх | Cообщить модератору

37. "Обновления nginx 1.26.2 и 1.27.1 с устранением DoS-уязвимост..."  +/
Сообщение от _ (??), 15-Авг-24, 16:57 
А тебя что больше беспокоит?
То что из _его_ крамана или то что _не_тебе_ ? ;-)

Ответить | Правка | Наверх | Cообщить модератору

47. "Обновления nginx 1.26.2 и 1.27.1 с устранением DoS-уязвимост..."  +/
Сообщение от Аноним (3), 19-Авг-24, 10:25 
для тех кому не подро..ть - начальник отмолчался но в пожарно выпущенной Angie 1.6.2 патч сбэкпортили.

Судя по датам релиза, "всего" пару дней у них это заняло. Так победим!

P.S. и да, сам фикс - г-но. Вместо проверки допустимости значений - расширили до 64 бит. "уж теперь-то точно влезет!"

кстати, из кода это, мягко говоря, неочевидно:

n = (uint64_t) (next_chunk - chunk) * samples; - и где тут гарантия что оно помещается и в 64?

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

50. "Обновления nginx 1.26.2 и 1.27.1 с устранением DoS-уязвимост..."  +/
Сообщение от Valentin V. Bartenev (?), 19-Авг-24, 13:06 
> и где тут гарантия что оно помещается и в 64?

Позвольте урок школьной математики:
(2^32 - 1) * (2^32 - 1) = 2^32 * 2^32 - 2^32 - 2^32 + 1 = 2^64 - 2^33 + 1 = (2^64 - 1) - (2^33 - 2) < 2^64 - 1 т.к. 2^33 > 2

Умножение двух 32-х битных чисел не может переполнить 64-х битную целочисленную беззнаковую переменную.

Необходимые проверки допустимости значений там есть, но вы видимо так хорошо разобрали формат mp4, что увидели отсутствие какой-то проверки? Тогде ждем от вас патча.

Ответить | Правка | Наверх | Cообщить модератору

53. "Обновления nginx 1.26.2 и 1.27.1 с устранением DoS-уязвимост..."  +/
Сообщение от нах. (?), 19-Авг-24, 13:52 
> Необходимые проверки допустимости значений там есть, но вы видимо так хорошо разобрали

А откуда тогда переполнение?

Ответить | Правка | Наверх | Cообщить модератору

54. "Обновления nginx 1.26.2 и 1.27.1 с устранением DoS-уязвимост..."  +/
Сообщение от Valentin V. Bartenev (?), 19-Авг-24, 15:38 
Переполнение в локальной переменной, хранящей результат промежуточного вычисления.

По вашей логике вместо того, чтобы расширить локальную переменную до типа, подходящего для хранения любого результата произведения возможных значений по стандарту - нужно провести исследования из разряда "64 килобайта хватит всем", чтобы выяснить возможные значения реального количества семплов и размеров чанков встречающихся в mp4 файлах у миллионов пользователей, в том числе крупнейших видеохостингов, либо же просто ограничить неким магическим числом, взятым из головы ради того, чтобы конкретный промежуточный результат поместился в 32 бита, что разумеется никак не гарантирует, что любые далее последующие возможные промежуточные вычисления также все поместятся в 32 бита.  И именно такой фикс по вашему будет не гоно и его можно предложить всем, не смотря на то, что потенциально, если магическое число будет угадано неправильно, то он может сломать обратную совместимость.

Ну что ж, успехов тогда вам в разработке сравнимого по популярности, зарекомендовавшего себя надежным и безопасным продукта. В нем, я уверен, не будет подобных уязвимостей, ведь подходы у вас великолепные.

Я просто удивляюсь как не стыдно с легкой руки поливать анонимно кого-то грязью, только потому, что у вас альтернативное мнение.

Ответить | Правка | Наверх | Cообщить модератору

55. "Обновления nginx 1.26.2 и 1.27.1 с устранением DoS-уязвимост..."  +/
Сообщение от нах. (?), 20-Авг-24, 14:39 
ну о какой "обратной совместимости" может идти речь, если сколько там уже http_mp4 - 10 лет? 20 ? И проблема замечена хакерами, ищущими солонку для срочно облегчиться, а не пользователями?
Ему жить-то наверное осталось меньше чем уже прожил - гугль назойливо пытается впихнуть нам webm вместе с ненужно-av1.

Наоборот же ж, сломали "обратную совместимость" - раньше ж нормально падало все, а теперь вот нет. А может крупнейший видеохостинг уже десять лет как заложился на образцовое поведение и специальный файл у себя держал, для авторестарта воркера по запросу? (а теперь - юзеру браузер уронит... или выполнит некстати какого-нибудь кода)

И если где-то результат промежуточных вычислений не влезает (в теории) и в 64 бита - будем писать 128битную математику, лишь бы не контролировать осмысленность "предусмотренных стандартом" значений? Ну как-то так себе, по-моему, подход.

Т.е. я если вернусь к видеохостингу скорее добавлю себе тут локальный патч, чтоб такой файл в браузер не уезжал. Потому что не факт что в браузере тоже все хорошо с целочисленной арифметикой.

Ответить | Правка | Наверх | Cообщить модератору

9. Скрыто модератором  +/
Сообщение от frolenkovemail (ok), 15-Авг-24, 02:12 
Ответить | Правка | Наверх | Cообщить модератору

19. Скрыто модератором  +/
Сообщение от Аноним (18), 15-Авг-24, 05:52 
Ответить | Правка | Наверх | Cообщить модератору

21. Скрыто модератором  +/
Сообщение от Аноним (1), 15-Авг-24, 06:52 
Ответить | Правка | Наверх | Cообщить модератору

24. Скрыто модератором  +1 +/
Сообщение от Аноним (22), 15-Авг-24, 07:47 
Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

25. Скрыто модератором  +/
Сообщение от frolenkovemail (ok), 15-Авг-24, 08:09 
Ответить | Правка | Наверх | Cообщить модератору

29. Скрыто модератором  +/
Сообщение от Аноним (1), 15-Авг-24, 10:03 
Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

11. "Обновления nginx 1.26.2 и 1.27.1 с устранением DoS-уязвимост..."  –5 +/
Сообщение от 12yoexpert (ok), 15-Авг-24, 02:46 
как отключить http2 и quick?
Ответить | Правка | Наверх | Cообщить модератору

45. Скрыто модератором  +/
Сообщение от Аноним (1), 17-Авг-24, 11:28 
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру