The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Релиз http-сервера lighttpd 1.4.34"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Релиз http-сервера lighttpd 1.4.34"  +/
Сообщение от opennews (ok) on 21-Янв-14, 12:15 
Увидел свет (http://www.lighttpd.net/2014/1/20/1-4-34/) релиз легковесного http-сервера lighttpd 1.4.34 (http://www.lighttpd.net). Выпуск носит корректирующий характер и содержит около двадцати изменений, из которых три связаны с устранением уязвимостей. Изменена рекомендуемая по умолчанию строка c параметрами применяемых методов шифрования ssl.cipher-list = "aRSA+HIGH !3DES +kEDH +kRSA !kSRP !kPSK", из которой исключена поддержка шифров RC4, 3DES, SRP, PSK и DHE (EDH) и выставлены более жесткие требования к RSA.

Устранены три уязвимости:

-  Уязвимость CVE-2013-4560 (http://download.lighttpd.net/lighttpd/security/lighttpd_sa_2...) вызвана обращением к уже освобождённой области памяти и позволяет инициировать удалённый отказ в обслуживании (крах процесса). -  Уязвимость CVE-2013-4559 (http://download.lighttpd.net/lighttpd/security/lighttpd_sa_2...) вызвана отсутствием проверки  значений, возвращаемых функциями setuid, setgid и setgroups, что может привести к запуску lighttpd под пользователем root после перезапуска в условиях достижения процессом заданного в системе лимита.-  Уязвимость CVE-2013-4508 (http://download.lighttpd.net/lighttpd/security/lighttpd_sa_2...) связана с использованием слабых SSL-шифров при включении SNI, что позволяет атакующему осуществить подстановку поддельных пакетов в соединение между клиентом и сервером или организовать прослушивание трафика.


Из не связанных с безопасностью изменений можно отметить решение проблем со сборкой без поддержки IPv6, устранение утечек памяти и файловых дескрипторов, организация декодирования URL перед применением rewrite-правил.

URL: http://www.lighttpd.net/2014/1/20/1-4-34/
Новость: http://www.opennet.dev/opennews/art.shtml?num=38893

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Релиз http-сервера lighttpd 1.4.34"  –3 +/
Сообщение от бедный буратино (ok) on 21-Янв-14, 12:15 
Жив, курилка!

Надо будет поглядеть, мож и комбекнуться на него с nginx :)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Релиз http-сервера lighttpd 1.4.34"  +2 +/
Сообщение от цкеп on 21-Янв-14, 12:38 
Этот сервер живее всех живых, живет маршрутизаторах.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

8. "Релиз http-сервера lighttpd 1.4.34"  –2 +/
Сообщение от бедный буратино (ok) on 21-Янв-14, 13:36 
после 1.4.28 - изменения раз в год и мизерные, и даже непонятно, как там по части уязвимостей было...

сейчас, надеюсь, очухался... :)

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

67. "Релиз http-сервера lighttpd 1.4.34"  –1 +/
Сообщение от xM (ok) on 22-Янв-14, 14:02 
Ну, вообще, лучшее есть враг хорошего.
Возможно, авторы действуют, как раз, в этом ключе.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

20. "Релиз http-сервера lighttpd 1.4.34"  –1 +/
Сообщение от Трубовращатель on 21-Янв-14, 14:43 
microhttpd, вообще-то. А на взрослых серваках можно с нгинкса и на пепяч спрыгнуть.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

26. "Релиз http-сервера lighttpd 1.4.34"  +/
Сообщение от www2 (??) on 21-Янв-14, 18:11 
У "пепяча" есть один фундаментальный недостаток - каждый процесс, отдающий медленному клиенту результат, впустую занимает память.
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

43. "Релиз http-сервера lighttpd 1.4.34"  +/
Сообщение от ананим on 21-Янв-14, 20:47 
Напомните, из какого вы века?
Или так студенты мс развлекаются?
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

44. "Релиз http-сервера lighttpd 1.4.34"  –1 +/
Сообщение от ананим on 21-Янв-14, 20:59 
Зыж
Чтобы не вступать в дискуссии с предметами мебели, просто оставлю это тут:
>The server can be better customized for the needs of the particular site.
>For example, sites that need a great deal of scalability can choose to use a threaded MPM like worker or event, while sites requiring stability or compatibility with older software can use a prefork.

http://httpd.apache.org/docs/2.4/mpm.html

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

61. "Релиз http-сервера lighttpd 1.4.34"  –2 +/
Сообщение от PavelR (ok) on 22-Янв-14, 09:04 
Это не дотягивает до модели обработки запросов nginx.
И это всё, что оно может.
Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

62. "Релиз http-сервера lighttpd 1.4.34"  –1 +/
Сообщение от ананим on 22-Янв-14, 10:22 
Бред.
Ответить | Правка | ^ к родителю #61 | Наверх | Cообщить модератору

71. "Релиз http-сервера lighttpd 1.4.34"  +/
Сообщение от www2 (??) on 15-Фев-14, 12:14 
> Зыж
> Чтобы не вступать в дискуссии с предметами мебели, просто оставлю это тут:
>>The server can be better customized for the needs of the particular site.
>>For example, sites that need a great deal of scalability can choose to use a threaded MPM like worker or event, while sites requiring stability or compatibility with older software can use a prefork.
> http://httpd.apache.org/docs/2.4/mpm.html

Разница, на самом деле, не очень большая - поток или процесс. Потоки, безусловно, быстрее делаются и могут работать с общей памятью, но поток по прежнему не может заняться обслуживанием следующего клиента, пока текущий клиент не заберёт свою страницу. Те же яйца, только в профиль.

Lighttpd и nginx позволяют бэкэндам работать с максимальной скоростью, на какую они способны, вне зависимости от скорости скачивания страницы клиентом.

Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

72. "Релиз http-сервера lighttpd 1.4.34"  +/
Сообщение от www2 (??) on 15-Фев-14, 12:16 
А ещё, один поток, повредивший общую память, рушит весь процесс. Так что из-за одного клиента страдают сразу несколько.
Ответить | Правка | ^ к родителю #71 | Наверх | Cообщить модератору

40. "Релиз http-сервера lighttpd 1.4.34"  –1 +/
Сообщение от Аноним (??) on 21-Янв-14, 20:18 
> А на взрослых серваках можно с нгинкса и на пепяч спрыгнуть.

Вот только что-то нагруженные сайты делают ровно наоборот.

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

45. "Релиз http-сервера lighttpd 1.4.34"  +1 +/
Сообщение от ананим on 21-Янв-14, 21:01 
Врядли прятанье кучи апачей за нджинксом можно назвать словом "наоборот".
Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

50. "Релиз http-сервера lighttpd 1.4.34"  –1 +/
Сообщение от Аноним (??) on 21-Янв-14, 22:38 
> Врядли прятанье кучи апачей за нджинксом можно назвать словом "наоборот".

Половина вообще апач выносит. А какой в нем смысл? Дергать вебаппу может и сам нжинкс.

Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

51. "Релиз http-сервера lighttpd 1.4.34"  +/
Сообщение от ананим on 21-Янв-14, 23:40 
И разумеется есть пруф?
Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

54. "Релиз http-сервера lighttpd 1.4.34"  –1 +/
Сообщение от Аноним (??) on 22-Янв-14, 01:34 
http://wiki.nginx.org/HttpFastcgiModule
http://wiki.nginx.org/HttpUwsgiModule
http://wiki.nginx.org/HttpScgiModule
Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

55. "Релиз http-сервера lighttpd 1.4.34"  +/
Сообщение от ананим on 22-Янв-14, 01:50 
Это не пруфы с цифрами миграции (цитата) высоконагруженных серверов на нждинкс.
Это вики энджикса. Такие же (и больше) есть и в апаче.
Слив?
Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору

57. "Релиз http-сервера lighttpd 1.4.34"  –1 +/
Сообщение от Аноним (??) on 22-Янв-14, 02:06 
просто замерь использование памяти в вариантах с апачом и без.

по производительности, если nginx фронтом, действительно нет разницы, но потребление оперативки - больше.

примеры? php-fpm, по словам его автора, был разработан в mamba/badoo, как раз чтобы избавиться от апача.

Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору

58. "Релиз http-сервера lighttpd 1.4.34"  –1 +/
Сообщение от ананим on 22-Янв-14, 03:48 
Я верю.
Вот только одно но — это ничего не доказывает.
Вон жаба жрёт как не в себя, а тем не мение очень популярна.
Так же и с апачем.
Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору

39. "Релиз http-сервера lighttpd 1.4.34"  +1 +/
Сообщение от kurokaze (ok) on 21-Янв-14, 20:15 
>Надо будет поглядеть, мож и комбекнуться на него с nginx :)

Не надо, оставайся в своем амплуа

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "Релиз http-сервера lighttpd 1.4.34"  –4 +/
Сообщение от xM (ok) on 21-Янв-14, 12:17 
Ааатлично! Пошёл апдейтиться...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Релиз http-сервера lighttpd 1.4.34"  –2 +/
Сообщение от xM (ok) on 21-Янв-14, 12:55 
Из FreeBSD портов случился fail, а в pkg ещё не обновили. Видимо, из-за того же fail :-D
Пускай разбираются сами.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

6. "Релиз http-сервера lighttpd 1.4.34"  +2 +/
Сообщение от Аноним (??) on 21-Янв-14, 13:00 
> Пускай разбираются сами.

(испуганно) конечно-конечно. Главное не вздумай им помогать.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

7. "Релиз http-сервера lighttpd 1.4.34"  +/
Сообщение от xM (ok) on 21-Янв-14, 13:07 
Не надо грязных намёков. Репорт мэйнтэйнеру ушёл тут же.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

46. "Релиз http-сервера lighttpd 1.4.34"  +/
Сообщение от Анони on 21-Янв-14, 21:27 
Врёте. Ни одного PR по lighttpd в этом году ещё не было.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

47. "Релиз http-сервера lighttpd 1.4.34"  +/
Сообщение от xM (ok) on 21-Янв-14, 21:38 
Вы Мартин Матушка, который его поддерживает в портах? Нет?
Тогда свободен.
Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

48. "Релиз http-сервера lighttpd 1.4.34"  +/
Сообщение от Анони on 21-Янв-14, 22:23 
Баги принято отправлять в качестве PR, как минимум чтобы они не забылись. Так что либо зовите Мартина, либо вы враль.
Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

49. "Релиз http-сервера lighttpd 1.4.34"  –1 +/
Сообщение от xM (ok) on 21-Янв-14, 22:33 
С а(о)но(а)ни(ст)мом дискутировать не вижу смысла.
Собака лает - караван идёт.
Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

52. "Релиз http-сервера lighttpd 1.4.34"  –1 +/
Сообщение от Анони on 21-Янв-14, 23:51 
Не старайся, враль, не сольёшься.
Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

53. "Релиз http-сервера lighttpd 1.4.34"  +1 +/
Сообщение от xM (ok) on 22-Янв-14, 00:02 
Жду извинительный минет.

Тема    Re: Lighttpd 1.4.34 upgrade failed
От    Martin Matuska <mm@FreeBSD.org>
Кому    XXX <XXX@XXX.XXX>
Дата    21.01.2014 23:57
Thanks, resolved.

On 2014-01-21 10:06, XXX wrote:
Hi!

xM@beta:/usr/ports/www/lighttpd # make showconfig
===> The following configuration options are available for
lighttpd-1.4.34:
     BZIP2=on: bzip2 support (mod_compress)
     FAM=off: File Alteration Monitor support
     GDBM=off: gdbm storage (mod_trigger_b4_dl)
     IPV6=off: IPv6 protocol support
     LDAP=off: LDAP authentication
     LIBEV=on: High-performance events support via libev
     LUA=off: lua support (mod_cml, mod_magnet)
     MEMCACHE=on: memcached storage (mod_trigger_b4_dl)
     MYSQL=on: MySQL support (mod_mysql_vhost)
     MYSQLAUTH=on: MySQL authentication (requires WITH_MYSQL)
     NODELAY=off: Set TCP_NODELAY on listening sockets
     OPENSSL=on: SSL/TLS support via OpenSSL
     SPAWNFCGI=on: Depend on spawn-fcgi utility
     VALGRIND=off: valgrind support
     WEBDAV=off: WebDAV support
===> Use 'make config' to modify these settings
xM@beta:/usr/ports/www/lighttpd # portupgrade lighttpd
[Reading data from pkg(8) ... - 316 packages found - done]
--->  Upgrading 'lighttpd-1.4.33' to 'lighttpd-1.4.34' (www/lighttpd)
--->  Building '/usr/ports/www/lighttpd'
===>  Cleaning for lighttpd-1.4.34
===>  License BSD accepted by the user
===>  Found saved configuration for lighttpd-1.4.34
===>   lighttpd-1.4.34 depends on file: /usr/local/sbin/pkg - found
===> Fetching all distfiles required by lighttpd-1.4.34 for building
===>  Extracting for lighttpd-1.4.34
=> SHA256 Checksum OK for lighttpd-1.4.34.tar.bz2.
===>  Patching for lighttpd-1.4.34
===>  Applying extra patch
/usr/ports/www/lighttpd/files/extra-patch-mysqlauth
1 out of 1 hunks failed--saving rejects to src/Makefile.am.rej
1 out of 1 hunks failed--saving rejects to src/Makefile.in.rej
*** [do-patch] Error code 2

Stop in /usr/ports/www/lighttpd.
*** [build] Error code 1

Stop in /usr/ports/www/lighttpd.
** Command failed [exit code 1]: /usr/bin/script -qa
/tmp/portupgrade20140121-56229-txbhen env UPGRADE_TOOL=portupgrade
UPGRADE_PORT=lighttpd-1.4.33 UPGRADE_PORT_VER=1.4.33 make
** Fix the problem and try again.
** Listing the failed packages (-:ignored / *:skipped / !:failed)
    ! www/lighttpd (lighttpd-1.4.33)    (patch error)

Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору

27. "Релиз http-сервера lighttpd 1.4.34"  +/
Сообщение от Аноним (??) on 21-Янв-14, 18:12 
Какой fail? Всё обновилось как по маслу.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

31. "Релиз http-сервера lighttpd 1.4.34"  +/
Сообщение от xM (ok) on 21-Янв-14, 18:36 
У меня мат-перемат про патч extra-patch-mysqlauth какой-то.
Удалил его руками, всё одно не использую, из Makefile и поставился.
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

41. "Релиз http-сервера lighttpd 1.4.34"  +3 +/
Сообщение от Аноним (??) on 21-Янв-14, 20:19 
> Из FreeBSD портов случился fail, а в pkg ещё не обновили.

Ну ё, это ж бзды. Там суперстабильность кода, обновления вовремя и что там еще нам фанатики рассказывают?

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

10. "Релиз http-сервера lighttpd 1.4.34"  +1 +/
Сообщение от Аноним (??) on 21-Янв-14, 13:39 
Использую на продакшн-серверах, все заказчики довольны, трафик бегает, сайты за полсекунды грузятся.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

36. "Релиз http-сервера lighttpd 1.4.34"  –1 +/
Сообщение от kionbek on 21-Янв-14, 19:26 
С флешем и скриптами?
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

66. "Релиз http-сервера lighttpd 1.4.34"  +/
Сообщение от vn971 (ok) on 22-Янв-14, 13:37 
Извиняюсь, я вообще мимо проходил, но...
"сайты" грузятся за 500 мс ?!
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

68. "Релиз http-сервера lighttpd 1.4.34"  +/
Сообщение от Sluggard (ok) on 22-Янв-14, 23:09 
Локалхост же, ну. =)
Ответить | Правка | ^ к родителю #66 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру