Новая серьезная уязвимость веб-сервера Apache

>После этого обычно php на сервере отключают, как класс.

А после этого все клиенты разбегаются и хостинг вылетает в трубу.

Я вот тоже не любитель php, но, есть продукты, например MediaWiki, не имеющие полнофункциональных аналогов. Рад бы перейти на что-то на питоне, например, но MoinMoin не допилен, и многих плюшек нет. Так что, пусть пока живет.

XVilka (26.08.2011 0:18:52)

шареды нинужны, впс/вдс наше фсио

При нынешних ценах на VPS у меня вызывают недоумение товарищи пользующиеся шаред-хостингами.

gnunixon (26.08.2011 0:31:06)

> А утечки памяти там пофиксили?

это у тебя утечка газа. это проблема была только в бздевой версии и в очень специальном случаяе.

отнюдь, скрипт вполне работоспособен.

// говорящий ник =)

qbbr (26.08.2011 0:34:06)

> кеш со стороны клиента да, можно реализовать сквидом. но кеширование той же статики со стороны веб-сервера - лучше чем nginx не встречал ничего.

зачем говорить о том, чего не знаешь. сквид в режиме акселератора работал еще когда ссысоев пеленки пачкал. и уж кэширование в сквиде точно на порядок лучше - он для этого и создавался в отличие от.

> кеш со стороны клиента да, можно реализовать сквидом. но кеширование той же статики со стороны веб-сервера - лучше чем nginx не встречал ничего.

а уж по гибкости настройки и возможностям nginx вообще бледненько смотрится на фоне сквида.

> а уж по гибкости настройки и возможностям nginx вообще бледненько смотрится на фоне сквида.

только статику он отдавать не умеет, в отличии от.

> только статику он отдавать не умеет, в отличии от.

отдавать статику - это не задача прокси-сервера и я не утверждал что сквид - это еще и http-сервер. но когда мне нужен гибкий, мощный, стабильный, легко настраиваемый, рассчитанный на огромную нагрузку прокси сервер для распределения нагрузки между http-серверами и кэширования, я возмьу сквид, а не непонятно что, заточенное под более чем странные нужды рэмблера (им, знаете ли, imap-authentication-proxy в этом комбайне нужен позарез, а вот keep-alive до серверов им не нужен).

а уж статику-то можно хоть G-WAN раздавать - он на статике nginx уделывает в разы.

а nginx вылез на верх благодаря роликам про то, как быстро развернуть RoR и Django используя nginx. 95% - это пионэры, вдохновившиеся простотой того, как легко себя почувствовать "крутым" веб-разработчиком - достаточно посмотреть такой ролик и повторить эти шаги на своем компьютере.

Не все пользователи хотят копаться на сервере по SSH. Многим гораздо приятно потыкаться в панели управления. К тому же, стандарт APS позволяет вообще не напрягаясь забить свой хостинг всеми нужными приложениями.

Для кого-то шаредхостинг это лишь средство для предоставления некоей информации: реклама, визитка, и таким абсолютно не важно, как это будет работать, главное - чтобы работало.

some-body (26.08.2011 5:25:03)

>Не все пользователи хотят копаться на сервере по SSH.

пользователи вообще не должны копаться на сервере, для этого есть админы.

>Многим гораздо приятно потыкаться в панели управления.

панель управления не инструмент для пользователей.

Вот сколько энергии можно было бы сэкономить датацентрам на запусках этого перла по всему миру.

nginx больше не имеет отношения к рамблеру. И на кой там поддержка всего этого хлама? Под ваши ынтырпрайз-нужды?

boombick (26.08.2011 7:40:35)

keep-alive до серверов уже есть. А сквид - монстроподобный комбайн, есть куда более легкие решения для лоад-балансинга и кеширования.

boombick (26.08.2011 7:42:46)

Сходил по ссылке. Оказывается, проблема была обнаружена еще в 2007 году: http://seclists.org/bugtraq/2007/Jan/83

Подтверждаю. Хотя на одном из моих серверов со слакой оно не сработало:

HTTP/1.1 200 OK
Host does not seem vulnerable

grouzen (26.08.2011 10:10:26)

Убейте меня, но накой из одного файла вырезать несколько кусков?? Зачем нужны НЕСКОЛЬКО диапазонов в одном запросе?

matumba (26.08.2011 10:36:13)

Пишет Host does not seem vulnerable

Апач на рабочем компе под opensuse.

> keep-alive до серверов уже есть

на клиентской стороне - есть, а на серверной - как не было, так и нет, по крайней мере, в 1.0.5 которая последняя в стабильной ветке. в 1.1.* я не заглядывал, поскольку development - он и есть development.

> nginx больше не имеет отношения к рамблеру. И на кой там поддержка всего этого хлама? Под ваши ынтырпрайз-нужды?

ты делаешь меня смеяться. keep-alive не нужен, а imap-authentication-proxy - нужен всем всенепременно. и зачем я спорю с болваном?

> keep-alive до серверов уже есть

и в development ветке все в том же состоянии /* TODO: NGX_PEER_KEEPALIVE */

А что с ценами на VPS. Минималка, которую я видел - 500р/мес.

А шаред хостинг начинается с карманных денег.

AVL2 (26.08.2011 12:05:18)

Минимальная цена котурую видел я - 250 рублей за VPS с 256 мб памяти. А еще бывают scale-server-а, где можно уложится вообще в 170-200 рублей. Не знаю как у вас в России, но даже у нас, в Молдове это смешные деньги, которые может себе позволить даже школьник, подозревая что не экономя даже на завтраках. Причем заметь, что на одном VPS могут крутиться несколько сайтов.

gnunixon (26.08.2011 12:18:46)

>Минимальная цена котурую видел я - 250 рублей за VPS с 256 мб памяти.

ну во первых, это все равно заметно больше, чем шаред.

>Не знаю как у вас в России, но даже у нас, в Молдове это смешные деньги, которые может себе позволить даже школьник, подозревая что не экономя даже на завтраках.

видишь ли, единоразово - да. Но если как по часам гребут ежемесячно, то через год-два может и надоесть.

AVL2 (26.08.2011 12:28:04)

Да не, я про керберос и подобное говно

boombick (26.08.2011 12:37:16)

Негодники

Почему-же Apache'мены так долго не фиксят баг?

real_kas (26.08.2011 12:43:18)

Есть такая штука как zsync, - вот ей надо для оптимизации служебного трафика: http://zsync.moria.org.uk/paper/ch02s06.html

> Убейте меня, но накой из одного файла вырезать несколько кусков?? Зачем нужны НЕСКОЛЬКО диапазонов в одном запросе?

Для торрентов :)

Самое фееричное:

perl ./killapache_pl.bin apache.org
host seems vuln
ATTACKING apache.org [using 50 forks]
:pPpPpppPpPPppPpppPp

Я хочу разместить сайт-визитку -> я заказываю шаред с cPanel или Plesk -> я пользователь и пользуюсь панелью. Что не так? В последнем так вообще есть встроенное средство для создания сайта-визитки (sitebuilder)

some-body (26.08.2011 18:10:10)

есть и за 200р, кстати. А самый дешёвый шаред, который я видел - 68р.

some-body (26.08.2011 18:11:34)

И да, VPS за 200р с 512Мб памяти + 20Гб диска.

some-body (26.08.2011 18:12:14)

> Скрипт посылает серверу GET-запрос c заданием нескольких байтовых диапазонов

ВоОбще-то там HEAD-запрос...

[Копипаста]
Скрипт killapache.pl запускает в несколько десятков потоков простой запроc:

HEAD / HTTP/1.1
Host: www.example.com
Range: bytes=0-,5-0,5-1,5-2,5-3,5-4,<...>,5-1299,5-1300
Accept-Encoding: gzip
Connection: close

Разработчики Apache подошли к этой проблеме серьёзно, инициативные лица уже предложили изменения в RFC, закрывающие эту уязвимостью. Тем временем все сервера стоят открыты и не защищены.

Проверить, уязвим ли ваш сервер к этой атаке легко:

curl -I -H "Range: bytes=0-1,0-2" -s www.example.com/robots.txt | grep Partial

Запретить nginx проксировать опасный заголовок можно директивой:

proxy_set_header Range "";
[/Копипаста]

по ссылке еще много чего http://habrahabr.ru/blogs/infosecurity/127029/

уязвимость не работает на динамических сайтах, нужно грузить статику

Новость про то что умные люди пишут на perl.

alx_me (29.08.2011 12:05:29)