Calendar
Taguri
alsa amd antivirus bittorrent bug bzflag centos compiz dns fedora 8 fedora 9 fglrx firefox flash player gmail gnome google httpd intel interview java kde kernel linux livecd microsoft migrate nvidia openoffice opera pulse-audio python radeon radeonhd red hat rpmfusion security skype video virtualbox virtualisation vmware wine xfce yum
Представлена новая версия HTTP-сервера lighttpd 1.4.19
March 12, 2008 12:11 | Autor: Oleg | Arhivat în: Noutăţi | 105 views
Спустя полгода с момента выхода прошлого релиза выпущен lighttpd 1.4.19. В новой версии исправлено более 40 ошибок, в том числе устранено три проблемы безопасности:
- Возможность совершения DoS атаки из-за отсутствия средств контроля за переполнением массива файловых дескрипторов;
- Возможность раскрытия служебной информации в mod_cgi (вместо 500 ошибки выдавался исходный текст проблемного скрипта);
- Возможность раскрытия служебной информации в mod_userdir (если в конфигурации явно не определен путь userdir.path, используется значение переменной окружения $HOME.).
Из новшеств можно отметить поддержку заголовка “If-Range:”, добавление новых директив IdleServers и Scoreboard для mod_status, генерацию заголовков etag/last-modified для контента сжимаемого налету. Отдельно следует упомянуть исправление проблемы с php-fcgi, приводящей к краху процесса.
(1 votes, average: 4 out of 5)
Loading ...
Taguri:httpd
Выпущен релиз ModSecurity 2.5.0
February 22, 2008 16:44 | Autor: Oleg | Arhivat în: Noutăţi | 124 views
Выпущена финальная версия Apache модуля ModSecurity 2.5.0, предназначенного для защиты web-приложений от типовых атак злоумышленников.
Наиболее интересные новшества:
- Альтернативный механизм для более быстрого поиска совпадений по спискам, состоящим из большого числа строковых масок. Управление производится через два новых оператора “@pm” и “@pmFromFile”;
- При наличии нескольких правил, использующих одно и тоже преобразуемое значение, отныне результат всех промежуточных преобразований кэшируется в пределах обработки одного запроса, а не повторяется заново для каждого нового правила;
- Включение в состав пакета скрипта rules-updater.pl для автоматического обновления правил блокировки из внешнего репозитория правил для ModSecurity;
- Новые директивы языка формирования правил: skipAfter, SecMarker, ctl:ruleRemoveById (возможность динамического удаления правил), переменная GEO для привязки правил к географической принадлежности посетителя;
- Content Injection - возможность из правил ModSecurity добавлять произвольный текст в отдаваемый HTML контент, например вставить JavaScript;
- Оператор @verifyCC для определения присутствия номеров кредитных карт в трафике;
- Поддержка написания внешних правил на языке Lua. Внешний скрипт задается директивой SecRuleScript;
- Универсальная защита от межсайтового скриптинга, через локальные ссылки в PDF файлах (например, “http://www.example.com/file.pdf#a=javascript:alert(’Alert’)”).
(No Ratings Yet) Loading ...
Taguri:httpd