LINUX.ORG.RU

В lighttpd найдена критическая уязвимость.

0

0

Lighttpd версий до 1.4.26 и 1.5.x, выделяет буфер памяти для каждой операции чтения во время запроса. Это позволяет вызвать отказ в обслуживании (lighttpd начинает кушать всю доступную память), если разбить запрос на множество кусочков, отправляемых через большие промежутки времени. Принцип атаки: разбиваем запрос на байты и после каждого отправленного байта делается относительно небольшая пауза, например, в десятые доли секунды.

Баг трекер (код для атаки + патч)

Пререлиз 1.4.26 (исправленный)

>>> Подробности

←	Вышел eBox 1.4

Джонатан Шварц уходит из Sun

→

← 1 2 →

[#] Ответ на: комментарий от matumba 05.02.2010 11:16:01

> По сути, даже драйвер диска есть та же "прикладуха" с алгоритмами оптимального доступа, распределения буферов, разве что на последних стадиях (самых кратких) идут всякие DMA и I/O с портами. Ну и накой ляд там Си?

Предлагаете обработку прерываний и шедулер задач на Питоне писать? Какой вуз/кафедру окончили? %)

sv75

(05.02.2010 14:38:35)

[#] Ответ на: комментарий от matumba 05.02.2010 11:16:01

> Я сильно сомневаюсь, что хотя бы 1% софта (даже системного) нужен такой "типамощный" язык с доступом к регистрам, битам, произвольным указателям... По сути, даже драйвер диска есть та же "прикладуха" с алгоритмами оптимального доступа, распределения буферов, разве что на последних стадиях (самых кратких) идут всякие DMA и I/O с портами. Ну и накой ляд там Си? Даже Пистон, не к ночи будет упомянут, прекрасно справится с этой задачей, заюзав внешние asm-библиотечки.

Пеши исчо!

grusha (05.02.2010 14:39:22)

[#] Ответ на: комментарий от rave 05.02.2010 12:45:52

Глядишь и не обновят :) lighttpd находится в universe, а вот что космнавты пишут про universe:

>>-----Цитата---->>

http://www.ubuntu.com/community/ubuntustory/components

The basic toolchain and system libraries from main are still used to build this software and it is normally maintained in step with them, so it should install and work well with the software in main, but it comes with no guarantee of security fixes and support.

<<-----Цитата----<<

и где тот анонимус, который так фанатично любит hardy и у которого стрелки в less не работали...

(05.02.2010 14:41:27)

[#] Ответ на: комментарий от queen3 05.02.2010 11:54:11

> Я тоже не специалист в серверах, но мне как программисту скорее интересно, почему этот глюк не происходит, если данные посылать часто.

В TCP интенсивно используется буферизация (и алгоритм Нейгла). Как минимум отправитель должен использовать опцию сокета NODELAY (полагаю, тогда можно и часто).

sv75

(05.02.2010 14:41:59)

[#] Ответ на: комментарий от sv75 05.02.2010 14:41:59

> Как минимум отправитель должен использовать опцию сокета NODELAY (полагаю, тогда можно и часто).

Кажется, я вру. Если не спать хоть чуточку, то буферизация всё равно будет и при NODELAY. Так что надо немного спать.

sv75

(05.02.2010 14:44:00)

[#] Ответ на: комментарий от sv75 05.02.2010 14:41:59

Т.е., судя по описанию алгоритма, дело не в принимающей стороне, а в том, что отсылающая сторона кэширует малые пакеты (пока не получен отклик на предыдущий, но это не принципиально)?

Тогда понятно. А то я думал, там хитрые оптимизации таймаутов/очередей/буферов на принятие пакетов и т.п. С передающей-то стороны кэшировать такие вещи гораздо логичнее.

queen3

(05.02.2010 14:50:57)

[#] Ответ на: комментарий от oc 05.02.2010 14:41:27

> и где тот анонимус, который так фанатично любит hardy и у которого стрелки в less не работали...

кстати, да, это я, в lenny - обновилось, в hardy - нет. но universe в убунте и main в debian находятся на одинаковом положении - поддерживаемые сообществом.

корень проблемы вообще в том, почему lighttpd не в маин. лучше бы сделали нищебродский стек OLPS OpenVZ / Lighttpd / Php-Fcgi / SQlite

от того, что какой-то патч попал в debian раньше, чем в hardy (всё таки lenny - это текущий релиз, а как там с этим в etch?) не значит, что lenny перестанут поддерживать вообще целиком через год с копейками, тогда как main hardy - до 2013 года.

anonymous (05.02.2010 14:54:07)

[#] Ответ на: комментарий от sergv 05.02.2010 8:19:10

Кто-то бухает, а кто-то колется.

>На конфигурацию lighttpd, mathopd или nginx не смотрели? Весьма советую - индеец нервно курит всторонке.

Вы конфигурацию всех индейцев видели? У Apache — ужас, у Cherokee — вообще страшный мрак, основным конфигуратором является веб-гуй, который генерит текстовый файл, создание текстового конфига не предусмотрено и документации по нему нет. А вот Hiawatha — конфетка.

Camel

(05.02.2010 15:02:07)

[#] Ответ на: Кто-то бухает, а кто-то колется. от Camel 05.02.2010 15:02:07

Re: Кто-то бухает, а кто-то колется.

> А вот Hiawatha — конфетка.

и чем же оно лучше Lighttpd?

anonymous (05.02.2010 15:03:22)

[#] Ответ на: Re: Кто-то бухает, а кто-то колется. от anonymous 05.02.2010 15:03:22

КО в тред.

>и чем же оно лучше Lighttpd?

Спросил анонимус в треде о РЕШЕТЕ.

Camel

(05.02.2010 15:16:47)

[#] Ответ на: КО в тред. от Camel 05.02.2010 15:16:47

Re: КО в тред.

> Спросил анонимус в треде о РЕШЕТЕ.

Неуловимый Джо, не из вашего, случаем, племени?

anonymous (05.02.2010 15:31:00)

[#] Ответ на: Re: КО в тред. от anonymous 05.02.2010 15:31:00

Hiawatha rules.

>Неуловимый Джо, не из вашего, случаем, племени?

Да ты чё! Hiawatha установлен на 3,5 локалхостах!

На самом деле нормальный веб-сервер. Я его использую на домашнем сервере (видно из интернетов), работает, есть не просит.

Camel

(05.02.2010 16:33:44)

[#] Ответ на: Hiawatha rules. от Camel 05.02.2010 16:33:44

Re: Hiawatha rules.

я его там же и тыкал, php-fcgi умеет, а большее я не тыкал. есть ли рерайтинг урл, есть ли удобный vhost, т.е. какие приемущества перед lighttpd, кроме того, что lighttpd решето?

фичи, производительность?

anonymous (05.02.2010 16:36:38)

[#] Ответ на: Re: Hiawatha rules. от anonymous 05.02.2010 16:36:38

Вменяемость.

>я его там же и тыкал, php-fcgi умеет, а большее я не тыкал. есть ли рерайтинг урл, есть ли удобный vhost,

Я не знаю что такое php-fcgi, но PHP'шная программа у меня прекрасно работает через FastCGI (Wordpress). На том же хосте в вирт.хосте работает MediaWiki. Rewrite URL есть. Что ещё надо?

Hiawatha не умеет reverse proxy, и не надо. Я использую для этого дела Pound и очень доволен, unix way'но.

Camel

(05.02.2010 16:44:16)

[#] Ответ на: Вменяемость. от Camel 05.02.2010 16:44:16

Re: Вменяемость.

LOR такой LOR

уязвимость реализуется в парсере HTTP/1.1 chunk encoding т.е. при аплоаде файла или длинного POST

anonymous (06.02.2010 3:54:36)

[#] Ответ на: Кто-то бухает, а кто-то колется. от Camel 05.02.2010 15:02:07

> А вот Hiawatha — конфетка.

Это - не пробовал. Для меня название читается сугубо матерно ;-).

sergv

(08.02.2010 7:56:25)

[#] Ответ на: комментарий от sergv 08.02.2010 7:56:25

Вата это неприлично.

>> А вот Hiawatha — конфетка.

>Это - не пробовал. Для меня название читается сугубо матерно ;-).

Вас смущает слово "вата"? :-]

Camel

(08.02.2010 9:48:21)

[#] Ответ на: Вата это неприлично. от Camel 08.02.2010 9:48:21

Ну, мягковыражаять, оно читается с первой, второй и третьей попытки как "проховата" ;-))).

sergv

(08.02.2010 9:54:16)

[#] Ответ на: комментарий от sergv 08.02.2010 9:54:16

Ты точно знаком с латинским алфавитом?

LamerOk

(08.02.2010 11:38:47)

[#] Ответ на: комментарий от LamerOk 08.02.2010 11:38:47

Для непонятливых: при беглом просмотре оно выглядит как hUiawatha.

sergv

(08.02.2010 12:11:09)

[#] Ответ на: комментарий от sergv 08.02.2010 12:11:09

Huewatha.

>Для непонятливых: при беглом просмотре оно выглядит как hUiawatha.

Да хоть Huewatha, всё равно по-русски оно на самом деле читается "Гайявата". О как.

Camel

(08.02.2010 12:31:34)

[#] Ответ на: комментарий от sergv 08.02.2010 12:11:09

У тебя крупные проблемы с беглым просмотром.

LamerOk

(08.02.2010 13:14:15)

← 1 2 →

←	Вышел eBox 1.4

Безопасность

Джонатан Шварц уходит из Sun

→