[nginx] уязвимость

вернее, 5.0.22 стояла.

to true_admin:

Походу мы друг друга не понимаем. Вот у меня freebsd 7.2. Я хочу пересобрать мир как бы для оптимизации. Скажем, для клиента, ему дебаг и профайленг не нужен. Я прописываю опцию, чтобы стековый указатель не использовался. Я начинаю собирать мир и понимаю, что мир сам без моего участия собраться не может. Либо я не должен использовать оптимизацию, либо должен что-то еще править. -pg - опция для профайлера.

Насчет Gentoo, ты не там смотрел. Смотри ebuild некоторых пакетов, возможно glibc. Ща точно не скажу. Я от gentoo отказался после очень интенсивного использования. Фильтрация флагов точно есть и вовсе не всегда все твои флаги из make.conf попадают.

>Эээ, а каким образом у тебя mysql оказался 5.0.45 если в rhel5.1 оно было 5.0.27?

Эээ, а почему оно должно быть какой-то другой версии? И откуда я возьму рхел 5.1?
Пятые рхелы мы уже не используем, только центосы. Причем регулярно обновляем, так что сейчас они все 5.3. (Не считая четвертых, оставленных для совместимости.)
Тот центос 5.2, который я говорил постом выше — тестовая машинка, образ которой год провалялся в архиве. Отдельных реп под 5.2 уже нет — поддерживаются только репы последнего выпуска в ветке, т.е. 5.3.

> -pg - опция для профайлера.

Вот именно, зачем это в продакшене?

> Я начинаю собирать мир и понимаю, что мир сам без моего участия собраться не может.

> Фильтрация флагов точно есть и вовсе не всегда все твои флаги из make.conf попадают.

В избранных пакетах и сделанная руками. На уровне системы никакой фильтрации нет. Вот засунть этот -pg вместе с ommit frame pointer в make.conf и посмотри какую весёлую надпись выдаст emerge при сборке. Так что тут нападки на фрю не уместны, гента ведёт себя ещё хуже(у меня тупо вылетело с ошибкой "gcc cannot create executables").

Эээ, не совсем понимаю. Вот у меня, скажем, был рхел(или центос, неважно)5.1. Я обязан теперь обновиться до 5.3 чтобы была поддержка? И при этом у меня ещё и мускул обновиться? Бред какой-то, разные версии мускла ведут себя по-разному, всяких несовместимых изменений там много.

И главное, ты старательно избегаешь разговора о том что баг так и не исправили в рхеле, он сам исчез после того как мускул другой версии запихнули. И провисел этот баг ГОД.

to true_admin:

Ты все еще не понял. -pg - это опция по дефолту при сборке конкретного пакета(ов) во freebsd (см. выше лог). Я ее не ставил, она просто мешает оптимизации.

Насчет Gentoo. "В избраных пакетах и сделанная руками". Чьими руками? Мейнтейнеров, правильно? Зачем? Затем чтобы мне этого не пришлось делать. Во фрибзд - наоборот, я не могу собирать мир ничего не правя.

>Вот у меня, скажем, был рхел(или центос, неважно)5.1. Я обязан теперь обновиться до 5.3 чтобы была поддержка? И при этом у меня ещё и мускул обновиться? Бред какой-то, разные версии мускла ведут себя по-разному, всяких несовместимых изменений там много.

Давайте рассмотрим аналогичную задачу ;)
Вот у меня, скажем, был debian 5.0.2. Я обязан теперь обновиться до 5.0.3 чтобы была поддержка? И при этом у меня ещё и техлайв обновится? Бред какой-то, разные версии техлайва ведут себя по-разному, всяких несовместимых изменений там много.

>И главное, ты старательно избегаешь разговора о том что баг так и не исправили в рхеле

Да, я стараюсь не рассуждать с умным видом о вещах, в которых не разбираюсь. В частности, в истории этого бага я не разбираюсь. В свое время сталкиваться с ним не приходилось.
Может, фактически там мускул обновили через неделю после багрепорта обновили (сорри, я не помню наизусть точные даты релизов мускула). А баг официально закрыл через год какой-то дотошный человек, разгребая багзиллу.

> Бред какой-то, разные версии техлайва ведут себя по-разному, всяких несовместимых изменений там много.

Что происходит у дебиана я знаю. там версии пакетов не прыгают. Все эти 5.0.x это просто 5.0 со всеми обновлениями, при этом ПО остаётся тех же версий.

> Может, фактически там мускул обновили через неделю после багрепорта обновили

Если бы проблему решили то тот баг бы закрыли. Я проверял спустя 8 месяцев после публикации бага, всё работало.

>Что происходит у дебиана я знаю. там версии пакетов не прыгают. Все эти 5.0.x это просто 5.0 со всеми обновлениями, при этом ПО остаётся тех же версий.

Для софта, входящего в состав дистрибутива, версия ничего не значит. Можно ту же версию пропатчить так, что она станет ни с чем не совместима. А можно (иногда) даже более новую ветку пропатчить, так что даже накатывание поверх старой не нарушит совместимости.

Я уже взрослый человек, поэтому смотрю не только на первые циферки в версии пакета (версия софта), но и на вторые (версия сборки). И еще интересуюсь, из чьей репы он взят.

Единственное, что можно утверждать почти наверняка — редхат не станет нарушать совместимость в пределах поддержки одного релиза.

>Я проверял спустя 8 месяцев после публикации бага, всё работало.

Стесняюсь спросить... а система-то хоть была обновленная? :)

> Единственное, что можно утверждать почти наверняка

Тут есть слово "почти".

> Стесняюсь спросить... а система-то хоть была обновленная? :)

А как ты думаешь?

Вижу что фанатизм преобладает над разумом, не хочу дальше обсуждать.

Йолки, ну впиши в make.conf -pg -fomit-frame-pointer, сделай emerge less и после этого дальше рассказывай сказки при фильтрацию пакетов. Если ЭТО http://dpaste.com/94702/ фильтрация то я испанский лётчик.

>Тут есть слово "почти".

А что в этом мире можно утверждать наверняка?

>Вижу что фанатизм преобладает над разумом, не хочу дальше обсуждать.

Да нет, я вовсе не защищаю редхат. Я просто привык, что они работают хорошо. В то, что они работают плохо, поверить тяжеловато.

При желании, кстати, могу выкатить списочек моих претензий к демьяну.
У него тоже среди мейнтейнеров попадаются расп.здяи и просто уроды.

В общем, ничто не совершенно :)

чего ты к gentoo привязался... я тебе про фри, а ты мне про генту... в ебилдах там устанавливаются нужные флаги... если ты вписал omit-frame-pointer, а пакет с этим не соберется, то экспортируются свои флаги. а то, как ты предложил провверить - это глупо.

во фри даже вписывать ничего не нужно. попробуй собери мир в 7.2 с omit-frame-pointer и скажи, как у тебя прошло.

> могу выкатить списочек моих претензий к демьяну.

Я и сам могу. Рабочий kvm у них только в unstable, php собран с внешним gd(и поэтому часть функций недоступна), libvirt некорректно опускает машины при ребуте, местами кривые стартовые скрипты которые запускают от рута даже то что от рута запускать не надо(типа ziproxy), мегадревние пакеты типа того же rpaf... итд итп.

> В общем, ничто не совершенно :)

Да всё говно :(

>Да всё говно :(

Ага.

Мы таки пришли к консенсусу? ;)

7.2-RELEASE-p3 Добавил в /etc/make.conf CFLAGS+=-fomit-frame-pointer и оно пошло:

cc -c -fomit-frame-pointer -DCOMPAT_IA32 -DCOMPAT_LINUX32 -D_KERNEL -DKLD_MODULE -std=c99 -nostdinc -DHAVE_KERNEL_OPTION_HEADERS -include /usr/obj/usr/src/sys/GENERIC/opt_global.h -I. -I@ -I@/contrib/altq -finline-limit=8000 --param inline-unit-growth=100 --param large-function-growth=1000 -g -fno-omit-frame-pointer -I/usr/obj/usr/src/sys/GENERIC -mcmodel=kernel -mno-red-zone -mfpmath=387 -mno-sse -mno-sse2 -mno-mmx -mno-3dnow -msoft-float -fno-asynchronous-unwind-tables -ffreestanding -Wall -Wredundant-decls -Wnested-externs -Wstrict-prototypes -Wmissing-prototypes -Wpointer-arith -Winline -Wcast-qual -Wundef -Wno-pointer-sign -fformat-extensions @/amd64/amd64/genassym.c sh @/kern/genassym.sh genassym.o > assym.s

Конечно, мы же взрослые люди :).

to true_admin: ок, напиши, чем закончится.

to true_admin: обрати внимание, что уже видно, компилит с отладкой: -g -fno-omit-frame-pointer

Мда, я лох. Ну, давай остановимся на том что фряха говно :). Щас немного не до неё. Или спроси iZEN, он любитель bsd.

http://virtualserver.ru/http_dos.py пример кода для демонстрации сути бага

Этот код не демонстрирует суть бага. При таких запросах обработка URI производится нормально.