Профиль: Аноним (вход | регистрация) неRU opennet.me  
The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Обновление nginx 1.31.3 с устранением RCE-уязвимости"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Обновление nginx 1.31.3 с устранением RCE-уязвимости"  +/
Сообщение от opennews (?), 15-Июл-26, 23:50 
Сформирован выпуск основной ветки nginx 1.31.3, в рамках которой продолжается развитие новых возможностей, а также выпуск параллельно поддерживаемой стабильной ветки nginx 1.30.4, в которую вносятся только изменения, связанные с устранением серьёзных ошибок и уязвимостей. В обновлениях устранено 3 уязвимости:...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=65910

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Хру (?), 15-Июл-26, 23:50   –6 +/
Итить, третья уязвимость в одном и том же куске кода. И эти бракоделы не сподобились даже пробежаться хоть какой-то ИИшней по своей базе, не говоря уже о фаззерах и санитайзерах. Вот как так?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4, #7, #12, #21, #30

3. Сообщение от Аноним (3), 15-Июл-26, 23:56   +/
Устранили ВСЕ уязвимости!
Ответить | Правка | Наверх | Cообщить модератору

4. Сообщение от Аноним (4), 15-Июл-26, 23:56   –2 +/
> Вот как так?

Потому что разработка "xepaк-xepaк - и в продакшын"

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #8, #14

5. Сообщение от Аноним (5), 16-Июл-26, 00:07   +3 +/
При Сысоеве такого не было!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #40

6. Сообщение от Ivan_83 (ok), 16-Июл-26, 00:13   +2 +/
RCE тут притянуто за уши, как обычно последнее время.
Поди найди эти самые типовые конфиги где map используется в том виде в котором надо и поди туда ещё данные какие надо отправь...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #19

7. Сообщение от Ivan_83 (ok), 16-Июл-26, 00:14   +/
Это не тот же код. В прошлый раз вроде в rewrite было.
Но похоже что проблема с регулярками для проекта системная, и вероятно может найтись ещё место где они использовались сходням образом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

8. Сообщение от Ivan_83 (ok), 16-Июл-26, 00:15   +8 +/
И как видно такая разработка вывела проект в топ вебсерверов планеты.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #10, #23

9. Сообщение от Ivan_83 (ok), 16-Июл-26, 00:16   +/
> Добавлены директивы ... для выставления размера буферов отправки (SO_SNDBUF) и приёма (SO_RCVBUF).

Это конечно хорошо, но хочется чтобы оно как то само на автомате.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #13, #22

10. Сообщение от Аноним (4), 16-Июл-26, 00:31   –6 +/
вывела проект в топ самых дырявых
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #11, #28

11. Сообщение от Ivan_83 (ok), 16-Июл-26, 00:39   +10 +/
Вы давно в IIS и апач заглядывали?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

12. Сообщение от Аноним (12), 16-Июл-26, 01:22   –5 +/
> не сподобились даже пробежаться хоть какой-то ИИшней по своей базе

Сишники так же уверены в своей непогрешимости, как и в применимости своего язычка для реальных задач, зачем им что-то там какими-то фаззерами и иишками проверять? Деды писали и они пишут.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

13. Сообщение от Аноним (12), 16-Июл-26, 01:23   +/
Так бери любой современный реверс прокси, зачем тебе nginx?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #17

14. Сообщение от Аноним (14), 16-Июл-26, 01:35   +/
ИИ, ИИ и в прдакшн! А чо там внутри и как оно работает, ИИ его знает. Погроммист не знает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

16. Сообщение от Джон Титор (ok), 16-Июл-26, 04:22    Скрыто ботом-модератором+/
Ответить | Правка | Наверх | Cообщить модератору

17. Сообщение от Ivan_83 (ok), 16-Июл-26, 04:32   +/
Так мне чисто прокси и не нужен, у меня на nginx целый зоопарк всего.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #35

18. Сообщение от Аноним (18), 16-Июл-26, 05:12   +/
>"CVE-2026-42533 - переполнение буфера"

Опять? Да сколько же можно!

Ответить | Правка | Наверх | Cообщить модератору

19. Сообщение от тов.Майор (?), 16-Июл-26, 06:58    Скрыто ботом-модератором+/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

20. Сообщение от Аноним (20), 16-Июл-26, 07:01   –1 +/
> переполнение буфера ... может привести к удалённому выполнению кода на сервере через отправку специально оформленного HTTP-запроса
> ... критический уровень опасности (9.2 из 10).

Вот она СИла СИшки!
Не зря диды её обожают.

Как же помог разработчикам Стандарт™ и несколько компиляторов от разных вендором!

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #44, #49

21. Сообщение от edo (ok), 16-Июл-26, 07:43   +/
Я думаю наоборот, прошлись иишечкой, она и нашла
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

22. Сообщение от edo (ok), 16-Июл-26, 07:44   +/
Само на автомате - дефолты операционной системы, на самом деле не такие уж и плохие для большинства случаев
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

23. Сообщение от Sm0ke85 (ok), 16-Июл-26, 07:45   +/
>И как видно такая разработка вывела проект в топ вебсерверов планеты.

Ты ж не намекаешь, что он лучший, т.к. в топ мира по пользованию даже косметика с радиоактивными изотопами как-то выходила, пока не поняли, что повальный рак как-то связан с этой косметикой... В топе всегда находится то, с чего денег можно бОльше заработать - таковы особенности капитализма, но это не говорит о том, что это "топовое" - реально лучшее, что есть в доступности... (поясни, меня напрягает доказательная база, про сам nginx глубоко особо не знаю)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #43

26. Сообщение от Аноним (26), 16-Июл-26, 08:45   +3 +/
спасибо тебе кормилец nginx, что не даешь умереть с голоду. пошел всех своих клиентов на апворке пугать и за денежку обновляться. да не оскудеет рука дающего ой nginx прогеров и ии слопа
Ответить | Правка | Наверх | Cообщить модератору

28. Сообщение от Аноним (28), 16-Июл-26, 10:13   +1 +/
т.е. на один уровень с тобой или так и не догнали?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

30. Сообщение от Смузихеб забывший пароль (?), 16-Июл-26, 10:15   –1 +/
Ну надо же на что-то деньги тратить и за что-то их получать, видимость активной работы создавать опять же
А то всё сделают как надо - и лапу сосать... без соли. А то и на мороз ввиду ненадобности и заменимости
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

31. Сообщение от pva (??), 16-Июл-26, 11:03   –1 +/
Всё лучше понимаю Максима Дунина, который как раз из-за такого тупого маркирования уязвимостей безопасности и основал freenginx. Про безопасность всем рекомендую смотреть его проект. В этих уязвимостях ничего настолько критичного просто нет. Да серьёзно, но не 9.2. Чистой воды хайп на безопасности от менеджеров nginx'а.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #34, #37

34. Сообщение от Аноним (35), 16-Июл-26, 11:10   +1 +/
Да расходимся, здесь не на что смотреть. Это не для вас уязвимость у вас даже звания нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

35. Сообщение от Аноним (35), 16-Июл-26, 11:13   +/
Начни с того что тебе не нужен этот зоопарк.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #42

37. Сообщение от Аноним (26), 16-Июл-26, 14:26   +/
удобная позиция ничего не делать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #45

40. Сообщение от Аноним (40), 16-Июл-26, 17:35   +/
ИИ при нём не было.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

42. Сообщение от Ivan_83 (ok), 16-Июл-26, 18:05   +/
Ну да, надо жить как фсе: работа манагером днём, пивас вечером под телек. Тогда и роутера от провайдера будет даже много.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35 Ответы: #46

43. Сообщение от Ivan_83 (ok), 16-Июл-26, 18:06   +/
Просто nginx делал тоже что и всё только лучше.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

44. Сообщение от Ivan_83 (ok), 16-Июл-26, 18:08   +/
Вы до сих пор не поняли что С это другое и джёте от него того же самого что от джавы какойнить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #48

45. Сообщение от Ivan_83 (ok), 16-Июл-26, 18:16   +1 +/
Вы просто никогда не были с другой стороны.

Вот сидишь себе прогаешь продукт, как прибегает манагер с горящими глазами и такой: "мы тут какой то модной утилитой проверили наш продукт, там 100050000 мильёнов критических RCE уязвимостей, нада срочна фиксить, бросай фсё!!!!!1111".

А потом начинается разбор.
Из 100050000 примерно 99,9% оказывается фолспозитивами которые померещились утилите.
Остальное разделяется на:
- у нас это не сработает, потому что не выполнены условия 1,2,3,4,5,6...
- наши клиенты такое так никогда не настраивали...
- а вот это похоже на ошибку которая может уронить процесс, щас пофиксим...


Вот и с mmap - ты поди найди те конфиги чтобы оно сработало, потом подбери запросы чтобы хотя бы уринило процесс, потом попробуй к этому запросу приатачить код который должен выполнится...
И где то в середине окажется что это не реально проделать даже на лабе, или в лучшем случае только у тебя на лабе и будет работать, если всяки W^X, aslr и прочее повыключать, да ещё что то поделать.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37 Ответы: #47

46. Сообщение от Аноним (46), 16-Июл-26, 23:30    Скрыто ботом-модератором+/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42

47. Сообщение от Аноним (26), 17-Июл-26, 10:25   +/
дык вам за это деньги платят. если не нравится, вас никто не держит.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45

48. Сообщение от Аноним (-), 17-Июл-26, 11:50    Скрыто ботом-модератором+/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

49. Сообщение от Аноним (-), 17-Июл-26, 11:59   +/
> Не зря диды её обожают.

Её обожают трёхбуквенные конторы и полезные эти-самые.
Иван83 не даст соврать.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2026 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру