The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"В Apache Traffic Server 3.0.4 устранена критическая уязвимость"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В Apache Traffic Server 3.0.4 устранена критическая уязвимость"  +/
Сообщение от opennews on 26-Мрт-12, 22:05 
В новом выпуске высокопроизводительного кэширующего прокси-сервера Apache Traffic Server 3.0.4 (http://trafficserver.apache.org/), разрабатываемого фондом Apache, устранена (http://mail-archives.apache.org/mod_mbox/www-announce/201203...) критическая уязвимость (https://www.cert.fi/en/reports/2012/vulnerability612884.html), позволяющая удалённому злоумышленнику организовать выполнение кода на сервере через передачу запроса со специально оформленным содержимым http-заголовка "Host:".
Проблеме подвержены все ранее выпущенные версии Apache Traffic Server, включая экспериментальную ветку 3.1.x, для которой также выпущено корректирующее обновление 3.1.3.

URL: http://mail-archives.apache.org/mod_mbox/www-announce/201203...
Новость: http://www.opennet.dev/opennews/art.shtml?num=33449

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "В Apache Traffic Server 3.0.4 устранена критическая уязвимос..."  +1 +/
Сообщение от антоним on 26-Мрт-12, 22:05 
Может кто сказать как оно по сравнению со сквидом?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "В Apache Traffic Server 3.0.4 устранена критическая уязвимос..."  +1 +/
Сообщение от Stax (ok) on 27-Мрт-12, 03:00 
ATS намного быстрее сквида - время отклика меньше, вплоть до порядка разницы, и лучше масштабируемость на большую нагрузку - хорошо параллелится, в отличие от сквида. Он обгоняет даже haproxy по времени отклика (и намного по фичам).
В то же время, кроме производительности, сквид не менее, и даже более фичаст, более распространен и прост в развертывании. Так что если сквида по скорости хватает, на ATS смотреть не нужно. ATS - это под очень большую нагрузку.

http://www.scribd.com/doc/37301205/Apache-Traffic-Server-HTT... - неплохое сравнение ATS и других кэширующих серверов.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

5. "В Apache Traffic Server 3.0.4 устранена критическая уязвимос..."  +/
Сообщение от Аноним (??) on 27-Мрт-12, 08:13 
а на сколько он проц и память ест?
а то мне достался почтовик старый (на сюзе 8) + сквид там стоит
в инет ходит около 50 человек и обработка спама - лоад эверейдж постоянно на 0.6-0.8
потихоньку перевожу на дебиан и железо поновее
--
или АТС в данном случае будет как из пушки по воробьям?
и лучше руки из Ж вынуть и правильно настроить сквид? =D
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "В Apache Traffic Server 3.0.4 устранена критическая уязвимос..."  –1 +/
Сообщение от o on 27-Мрт-12, 08:27 
мне кажется им не сквид менять надо а nginx.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

18. "В Apache Traffic Server 3.0.4 устранена критическая уязвимос..."  +/
Сообщение от ФФ (ok) on 28-Мрт-12, 13:42 
>лоад эверейдж постоянно на 0.6-0.8

Поставить дополнительный кулер :))

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

11. "В Apache Traffic Server 3.0.4 устранена критическая уязвимос..."  –1 +/
Сообщение от Andrey Mitrofanov on 27-Мрт-12, 12:02 
Это не только Apache, но и TM, TLP и cloud services! А ликёро-водочный джавва завод сегодня нарядов не прислал...
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "В Apache Traffic Server 3.0.4 устранена критическая уязвимос..."  –1 +/
Сообщение от Аноним (??) on 27-Мрт-12, 00:22 
А вот меня больше интересует другое - каким местом нужно было парсить содержимое заголовка чтобы создать дырку в виде выполнения кода?

"Осчучение" что такие дырки вносят намерянно.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "В Apache Traffic Server 3.0.4 устранена критическая уязвимос..."  +1 +/
Сообщение от iCat (ok) on 27-Мрт-12, 01:07 
>...каким местом нужно было...

Каким место нужно думать, чтобы рождались ТАКИЕ вопросы?
А напиши-ка, милдруг, самостоятельно скриптец хотя бы. Строк на 50?
Ну, например, обработку файлопомойки.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

12. "В Apache Traffic Server 3.0.4 устранена критическая уязвимос..."  +1 +/
Сообщение от Аноним (??) on 27-Мрт-12, 18:00 
Пишу на С/C++, в том числе и парсеры всякие.

в свое время баловался - писал примитивный вебсервер, сам по себе http примитивный протокол вида

GET /url HTTP/1.1
Host: virt-ser.ku.ku\r\n\
Header1: val1\r\n\
Header2: val2\r\n\
\r\n\
... body ...

Вот потому меня и интересует как так можно было распарсить?

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

7. "В Apache Traffic Server 3.0.4 устранена критическая уязвимос..."  +/
Сообщение от VoDA (ok) on 27-Мрт-12, 09:08 
> А вот меня больше интересует другое - каким местом нужно было парсить
> содержимое заголовка чтобы создать дырку в виде выполнения кода?

С или С++-ным ;)))


Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

8. "В Apache Traffic Server 3.0.4 устранена критическая уязвимос..."  +/
Сообщение от Дед Анон on 27-Мрт-12, 10:31 
Я что то не могу найти, может кто подскажет... Есть ли в нём поддержка pop3 и smtp? Если нет то может под squid какой нибудь костыль бывает? А то уже задолбало натом эти порты пробрасывать.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "В Apache Traffic Server 3.0.4 устранена критическая уязвимос..."  +/
Сообщение от антоним on 27-Мрт-12, 10:48 
А что там костылить под сквидом то? Направление решения - разрешить connect на эти порты (вписать в safe_ports или safe_ssl_ports ?).
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "В Apache Traffic Server 3.0.4 устранена критическая уязвимос..."  +/
Сообщение от anonimous on 27-Мрт-12, 11:47 
Не там ищите, http://nginx.org/ru/#mail_proxy_server_features - самое то
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

13. "В Apache Traffic Server 3.0.4 устранена критическая уязвимос..."  +/
Сообщение от o on 27-Мрт-12, 18:59 
Сквид для почты называется постфиксом. Или ему подобными.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

14. "В Apache Traffic Server 3.0.4 устранена критическая уязвимос..."  –1 +/
Сообщение от Дед АНОН on 27-Мрт-12, 19:32 
>А что там костылить под сквидом то? Направление решения - разрешить connect на эти порты (вписать в safe_ports или safe_ssl_ports ?).

Что то у меня ничего вразумительного так и не вышло, таймаут соединения и всё. Наверное чё-то с руками у меня не так)))

>Не там ищите, http://nginx.org/ru/#mail_proxy_server_features - самое то

Интересный вариант. Но опять же для его функционирования необходим локальный SMTP-сервер, а мне нужно просто перенаправлять запросы пользователей по 25 и 110 порту во внешний мир и немного резать им скорость по этим портам(чтоб общий трафик не сильно нагружался в пики прихода больших сообщений.

>Сквид для почты называется постфиксом. Или ему подобными.

Вот скажи. Зачем поднимать Postfix ради того что бы пересылать почту с пары машин в сети?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "В Apache Traffic Server 3.0.4 устранена критическая уязвимос..."  +/
Сообщение от антоним on 27-Мрт-12, 20:34 
> Что то у меня ничего вразумительного так и не вышло, таймаут соединения и всё. Наверное
> чё-то с руками у меня не так)))

Так клиенту тоже надо объяснить что ему теперь через проксю надо ломиться. А большинство невэб клиентов этого не умеют. Например, я пускаю ssh через corkscrew на сквид и оттуда в мир. Наверно это не проще чем нат поднимать.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

16. "В Apache Traffic Server 3.0.4 устранена критическая уязвимос..."  –1 +/
Сообщение от Дед АНОН on 27-Мрт-12, 21:26 
>Так клиенту тоже надо объяснить что ему теперь через проксю надо ломиться. А большинство невэб клиентов этого не умеют. Например, я пускаю ssh через corkscrew на сквид и оттуда в мир. Наверно это не проще чем нат поднимать.

Сомневаюсь что клиенту есть какое то дело как оно работает до тех пор пока оно работает. Я не разу не слышал вопрос "А как у нас почта отправляется, напрямую или через прокси?". Моё дело всё настроить так чтоб клиент вопросов не задавал, просто работал беззаботно и всё.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

17. "В Apache Traffic Server 3.0.4 устранена критическая уязвимос..."  +/
Сообщение от антоним on 27-Мрт-12, 21:46 
Под клиентом подразумевается софт, который должен работать через проксю. Речь про то что не каждый софт такое позволяет.
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру