- A hozzászóláshoz be kell jelentkezni
- 7324 megtekintés
Hozzászólások
Megnéztem pár nagyobb oldalt (kicsit módosítottam a scriptet, hogy ne vigyen el a gestapó) csak teszteltem a scriptel és megdöbbentem nem kicsit!!!
Nyilván a terhelés elosztók, meg proxy -k megakadályozzák az eredményes explitálást de megdöbbentem!
----
올드보이
http://molnaristvan.eu/
- A hozzászóláshoz be kell jelentkezni
Slackware 13.37-es Apache szerverén default konfiggal nem fogott ki, Debián Squeeze default konfiggal elhullott. Utóbbin a cikkben írt header modulra épülő megoldás segített.
- A hozzászóláshoz be kell jelentkezni
Megnéztem én is pár gépet, érdekes...
11.4-en semmi nem történt. 11.3 apache még nginx frontend proxyval is megfeküdt.
--
Discover It - Have a lot of fun!
- A hozzászóláshoz be kell jelentkezni
A gáz az, hogy ez egy 2007-es sechole, amelyet nem javítottak. Pedig ugye nyílt forrás, meg közösségi erő meg minden. Aztán mégsem javították ki azonnal. Nem kicsit inog ilyenkor a nyílt forrás, gyors hibajavítás bullshit duma :)
- A hozzászóláshoz be kell jelentkezni
Aztán miért nem javítottad ki?
- A hozzászóláshoz be kell jelentkezni
És te miért nem?
(közös lónak.....)
- A hozzászóláshoz be kell jelentkezni
Nem én sírtam, hogy 2007-óta nem javították.
Nekem nem fáj.
- A hozzászóláshoz be kell jelentkezni
Aztán ez a legnagyobb bullshit, amit el lehet sütni :)
- A hozzászóláshoz be kell jelentkezni
nem, mert az a "nyílt forrás ereje, oszt mégse.."-duma :)
--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség
- A hozzászóláshoz be kell jelentkezni
nem ugyanaz a hiba, mint a 2007-es, mindketto a range fejlecekkel operalt, az savszelt tudta megenni, ez a memoriat.
Tyrael
- A hozzászóláshoz be kell jelentkezni
Köszönet!
- A hozzászóláshoz be kell jelentkezni
A dolog úgy áll, hogy ez nem csak az apache fejlesztőcsapatának a billentyűzetén szárad. A thred -et olvasva az id kiderül, hogy ez egy az ide vonatkozó RFC miatt felmerült tervezési hiba. A megjelent patch-ek leginkább a kenjük be sárral szellemében született (ne engedjünk csak 10 töredéket, ne higgyük el a byte=0- típusú range -eket, stb.). Viszont azt többen írták, hogy a reverse proxy -k haproxy megóv attól, hogy ezt a hibát ki lehessen használni. Azt is fontos megjegyezni, hogy úgy tűnik a 2.2.19 -es apache nem eszi meg az exploitot.
Mivel azonban érdemes biztosra menni, mindenképpen a mod_security, vagy egyéb alkalmazás tűzfal a megfelelő megoldás. Tehát mielőbb tegyetek mod_security -t az apache aitokra.
----
올드보이
http://molnaristvan.eu/
- A hozzászóláshoz be kell jelentkezni
a level mod_security nem tartalmazhat hibakat? :)
--
zsebHUP-ot használok!
- A hozzászóláshoz be kell jelentkezni
a tervezesi hiba mellett az apache is saros annyiban, hogy elegge szuboptimalisan kezeli jelenleg a range fejleceket:
http://mail-archives.apache.org/mod_mbox/httpd-dev/201108.mbox/%3C20110…
Tyrael
- A hozzászóláshoz be kell jelentkezni
letelt mar a 24 ora?
--
zsebHUP-ot használok!
- A hozzászóláshoz be kell jelentkezni
Már le, és jött is frissítés Debian pajtásra.
________________________________________________
http://kronosz.sinuslink.hu
- A hozzászóláshoz be kell jelentkezni
itt a parton csak mobilnet van, de a bongeszom szerint a httpd.apache.org azt mondja, hogy az utolso release majusi.az meg, hogy a debiljany ebbe is belepacsolt hol fedi azt, hogy apacsek igertek 24 orara fixet.elsiklottam valami felett a kis kepernyon tukrozodo napfenyben? :)
--
zsebHUP-ot használok!
- A hozzászóláshoz be kell jelentkezni
marmint 48 orara.
Tyrael
- A hozzászóláshoz be kell jelentkezni
fent en 24-et olvasok, de a 48-bol is boven kicsusztak...
--
zsebHUP-ot használok!
- A hozzászóláshoz be kell jelentkezni
Tudod mit szoktak erre mondani... Kérd vissza a pénzed!
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
az elso advisory-ban(24.en) meg 48at irtak, 26.-an mar 24-et, viszont nem azt irtak, hogy 24/48 ora mulva lesz javitas, hanem hogy varhatoan (expected).
http://mail-archives.apache.org/mod_mbox/httpd-announce/201108.mbox/%3C…
http://mail-archives.apache.org/mod_mbox/httpd-announce/201108.mbox/%3C…
a levlistan ugy lattam, hogy eleg sok levelvaltas volt, hogy hogy lenne a legjobb javitani, szoval szerintem nem a tokuket vakartak.
Tyrael
- A hozzászóláshoz be kell jelentkezni
es vegulis hogyan fixaltak?
- A hozzászóláshoz be kell jelentkezni
a patch keddnél még így is gyorsabb...
--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség
- A hozzászóláshoz be kell jelentkezni