HTTP | iHADtoinstalllinux

Уязвимость в предлагаемой в Qt реализации протокола HTTP/2

В библиотеке Qt выявлена уязвимость (CVE-2023-51714) в реализации протокола HTTP/2, позволяющая добиться записи своих данных за пределы выделенного буфера. Уязвимость вызвана целочисленным переполнением в коде разбора упакованных заголовков (HPack) и проявляется при получении более 4 ГБ суммарных данных HTTP-заголовков или 2 ГБ для одного заголовка. Проблема устранена в обновлениях Qt 5.15.17, 6.2.11, 6.5.4 и 6.6.2. https://www.opennet.ru/opennews/art.shtml?num=60395

Представлен SSH3, вариант протокола SSH, использующий HTTP/3

Доступен первый официальный выпуск экспериментальной реализации сервера и клиента для протокола SSH3, оформленного в форме надстройки над протоколом HTTP/3, использующей QUIC (на базе UDP) и TLS 1.3 для установки защищённого канала связи и механизмы HTTP для аутентификации пользователей. Проект разрабатывает Франсуа Мишель (François Michel), аспирант Лувенского католического университета (Бельгия), при участии Оливье Бонавентуры (Olivier Bonaventure), профессора того же университета, известного разработкой подсистемы Multipath TCP и кода сегментной маршрутизации IPv6 для ядра Linux, а также соавтора 10 RFC и черновиков более 60 сетевых спецификаций....

Релиз http-сервера Lighttpd 1.4.73 с устранением DoS-уязвимостей в HTTP/2

Опубликован релиз легковесного http-сервера lighttpd 1.4.73, пытающегося сочетать высокую производительность, безопасность, соответствие стандартам и гибкость настройки. Lighttpd пригоден для применения на высоконагруженных системах и нацелен на низкое потребление памяти и ресурсов CPU. Код проекта написан на языке Си и распространяется под лицензией BSD. https://www.opennet.ru/opennews/art.shtml?num=60023

Опубликована библиотека nghttp3 1.0 с реализацией протокола HTTP/3

Доступен первый стабильный релиз проекта nghttp3, развивающего библиотеку на языке Си с реализацией протокола HTTP/3. Развиваемый тем же проектом вариант библиотеки для протокола HTTP/2 используется в качестве основы модуля mod_http2, входящего в состав http-сервера Apache. Наработки проекта также задействованы в утилите Curl. Код библиотеки распространяется под лицензией MIT. https://www.opennet.ru/opennews/art.shtml?num=59973

Релиз http-сервера Apache 2.4.58 с устранением DoS-уязвимостей в HTTP/2

Опубликован релиз HTTP-сервера Apache 2.4.58, в котором представлено 33 изменения и устранены три уязвимости, две из которых связаны с возможностью осуществления DoS-атаки на системы, использующие протокол HTTP/2. https://www.opennet.ru/opennews/art.shtml?num=59971