LINUX.ORG.RU

Сообщения MrClon

 

Nginx 1.15.6 и 1.14.1 с исправлениями уязвимостей

Группа Безопасность

Вышли версии nginx 1.15.6 и 1.14.1, в которых исправлены три уязвимости:

  • CVE-2018-16843 и CVE-2018-16844 — чрезмерное потребление памяти и CPU в модуле ngx_http_v2_module, реализующем поддержку протокола HTTP/2.
  • CVE-2018-16845 — отправка клиенту содержимого памяти рабочего процесса при использовании модуля ngx_http_mp4_module

Для эксплуатации первых двух уязвимостей достаточно наличия параметра http2 директивы listen. Эксплуатация CVE-2018-16845 требует директиву mp4 и специально подготовленного mp4-файла.

Также в nginx 1.15.6 исправлен баг, из-за которого nginx, собранный с OpenSSL 1.1.0, но работающий с OpenSSL 1.1.1, всегда разрешал использование протокола TLS 1.3. И добавлен ряд директив, определяющих поведение TCP keepalive (использование параметра сокета SO_KEEPALIVE) в модулях http бэкендов proxy, fastcgi, grpc, memcached/ scgi? uwsgi

Патч, исправляющий CVE-2018-16845

>>> Подробности

 , ,

MrClon ()

Вышел nginx 1.15.4

Группа Open Source

Вышел nginx 1.15.4, минорное обновление текущей mainline-ветки 1.15.*

Список изменений

  • Добавление: теперь директиву ssl_early_data можно использовать с OpenSSL.
  • Исправление: в модуле ngx_http_uwsgi_module. Спасибо Chris Caputo. (прим. Что именно исправлено, не уточняется).
  • Исправление: соединения к некоторым gRPC-бэкендам могли не кэшироваться при использовании директивы keepalive.
  • Исправление: при использовании директивы error_page для перенаправления ошибок, возникающих на ранних этапах обработки запроса, в частности ошибок с кодом 400, могла происходить утечка сокетов.
  • Исправление: директива return при возврате ошибок не изменяла код ответа, если запрос был перенаправлен с помощью директивы error_page.
  • Исправление: стандартные сообщения об ошибках и ответы модуля ngx_http_autoindex_module содержали атрибут bgcolor, что могло приводить к их некорректному отображению при использовании пользовательских настроек цветов в браузерах. Спасибо Nova DasSarma.
  • Изменение: уровень логгирования ошибок SSL «no suitable key share» и «no suitable signature algorithm» понижен с уровня crit до info.

>>> Changelog

 

MrClon ()

Вышел nginx 1.15.3

Группа Open Source

Вышел nginx 1.15.3, минорное обновление текущей mainline-ветки 1.15.*

Список изменений

  • Добавление: теперь TLSv1.3 можно использовать с BoringSSL.
  • Добавление: директива ssl_early_data, сейчас доступна при использовании BoringSSL.
  • Добавление: директивы keepalive_timeout и keepalive_requests в блоке upstream.
  • Исправление: модуль ngx_http_dav_module при копировании файла поверх существующего файла с помощью метода COPY не обнулял целевой файл.
  • Исправление: модуль ngx_http_dav_module при перемещении файла между файловыми системами с помощью метода MOVE устанавливал нулевые права доступа на результирующий файл и не сохранял время изменения файла.
  • Исправление: модуль ngx_http_dav_module при копировании файла с помощью метода COPY для результирующего файла использовал права доступа по умолчанию.
  • Изменение: некоторые клиенты могли не работать при использовании HTTP/2; ошибка появилась в 1.13.5.
  • Исправление: nginx не собирался с LibreSSL 2.8.0.

>>> Changelog

 

MrClon ()

Вышел nginx 1.15.0

Группа Open Source

Вышел nginx 1.15.0 (это первая версия новой mainline-ветки 1.15).

Список изменений

  • Изменение: директива «ssl» теперь считается устаревшей; вместо неё следует использовать параметр ssl директивы listen.
  • Изменение: теперь при использовании директивы listen с параметром ssl nginx определяет отсутствие SSL-сертификатов при тестировании конфигурации.
  • Добавление: теперь модуль stream умеет обрабатывать несколько входящих UDP-пакетов от клиента в рамках одной сессии.
  • Исправление: в директиве proxy_cache_valid можно было указать некорректный код ответа.
  • Исправление: nginx не собирался gcc 8.1.
  • Исправление: логгирование в syslog останавливалось при изменении локального IP-адреса.
  • Исправление: nginx не собирался компилятором clang, если был установлен CUDA SDK; ошибка появилась в 1.13.8.
  • Исправление: при использовании unix domain listen-сокетов на FreeBSD в процессе обновления исполняемого файла в логе могли появляться сообщения «getsockopt(TCP_FASTOPEN) ... failed».
  • Исправление: nginx не собирался на Fedora 28.
  • Исправлено поведение при использовании директивы limit_req (заданная скорость обработки запросов могла не соблюдаться).
  • Исправлена обработка адресов клиентов при использовании unix domain listen-сокетов для работы с датаграммами на Linux.
  • Исправлена обработка ошибок выделения памяти.

>>> Скачать
>>> Changelog

 

MrClon ()

LibreOffice 5.4

Группа OpenOffice

Состоялся релиз LibreOffice 5.4. В выпуске присутствуют новые функции для каждого модуля и дополнительные улучшения совместимости c Microsoft Office. Доступны сборки для Windows, macOS, GNU/Linux, а также для облачной установки.

( Список изменений )

>>> Запись в блоге The Document Foundation

 ,

MrClon ()

Локальное повышение привилегий в nginx (CVE-2016-1247)

Группа Безопасность

В nginx обнаружена уязвимость, позволяющая локальному злоумышленнику с правами www-data повысить привилегии до root.

Уязвимости подвержены как минимум Debian 8, Ubuntu 14.04, Ubuntu 16.04, Ubuntu 16.10, RHEL и Fedora (уязвимости присвоен низкий приоритет, так как стандартные политики SELinux ограничивают возможности её эксплуатации или делают эксплуатацию невозможной), openSUSE.

Исправляющие уязвимость обновления выпущены для Debian и Ubuntu, информация о других дистрибутивах требует уточнения.

Доступен эксплоит.

>>> Подробности

 ,

MrClon ()

DROWN — новая уязвимость в OpenSSL

Группа Безопасность

1 марта в рассылке OpenSSL сообщили о новой уязвимости: «Cross-protocol attack on TLS using SSLv2» (также известна как DROWN, CVE-2016-0800) позволяет расшифровать TLS-сессию, если сервер допускает работу по SSLv2 с использованием шифров класса EXPORT. Уязвимости подвержены приложения, использующие SSLv2 с любой версией OpenSSL; версии OpenSSL 1.0.1l (и более ранние) и OpenSSL 1.0.2 содержат ошибки, которые облегчают эксплуатацию уязвимости по сравнению с OpenSSL более поздних версий. Выпущены обновления, которые отключают поддержку SSLv2 по умолчанию и удаляют шифры EXPORT, исключая таким образом возможность конфигурации сервера, уязвимой к DROWN. Проблему также можно обойти, отключив поддержку SSLv2 в приложениях.

Популярное разъяснение природы и последствий уязвимости

Приложение, позволяющее проверить наличие уязвимости

Довольно подробный пост на Habrahabr

>>> Официальное сообщение от разработчиков OpenSSL

 , ,

MrClon ()

RSS подписка на новые темы