Remover Suhosin del PHP5

Enviado por sismo el Mié, 02/24/2010 - 10:17.
Tags:

Se deshabilita el parche Suhosin para un para un servidor con alto tráfico donde el parche estaba generando problemas al matar el thread (hilo) de Apache cuando detectaba un posible desbordamiento del "buffer". 

Cuando se mata thread corta la conexión del usuario con el equipo (interrumpe la descarga de los usuarios).  Los usuarios recargaban la página y volvían a disparar el proceso.  Con el tiempo esto llevaba a la disminución de hilos del proceso disponibles.  El Apache creaba nuevos pero en los momentos de alto tráfico esto generaba un aumento en la carga del servidor superior al que podía procesar.

Ese equipo recibe sobre el apache unos 50 accesos  por segundo en los momentos de mayor carga (por día unas 400.000 páginas vistas).

Procedimiento:

La prima actividad que se debe realizar es actualizar la información de las librerías de software disponibles y actualizar el equipo.

< sudo apt-get update
< sudo apt-get upgrade

A continuación se instalan las herramientas necesarias para poder compilar las fuentes de php

< sudo apt-get install devscripts liburi-perl build-essential shtool

posteriormente se descarga el paquete fuente del php5 y las dependencias para poder  compilarlo

eAccelerator Tunning de Apache / PHP

Enviado por sismo el Lun, 02/08/2010 - 12:59.
Tags:

eAccelerator es un acelerador y optimizador de PHP de código libre.  Incrementa el desempeño de los script de PHP cacheandolos en un estado compilado, lo que evita que se tenga que recompilar (o interpretar) cada vez que es consumido.  También optimiza los scripts para mejorar el tiempo de ejecución.  eAccelerator reduce la carga del servidor e incrementa la velocidad del código PHP en una relación de 1-10.

eAccelerato nación en Diciembre del 2004 como un frok del proyecto MMCache.  MMCache fue creado por Dmitry Stogov y gran parte de eAccelerator sigue estándo basado en ese trabajo.

eAccelerato almacena en código PHP compilado en memory y lo ejecuta directamente de esta misma.  Genera un lock al archivo por pequeños períodos de tiempo, cuando busca el script PHP compilado en el cache, lo que permite que el script pueda ser consumido por distintos motores al mismo tiempo.  Los archivos que por su tamaño no puedan ser almacenados en memoria, son almacenados en disco.

La última versión en la 0.9.6 que soporta php 5.3, 5.2 y 5.1

USN-861-1 Noviembre 24, 2009 libvorbis

Enviado por sismo el Mar, 12/29/2009 - 14:58.

Errores detectados:

CVE-2008-2009:

Fue descubierto que que libvorbis no maneja correctamente archivos ogg con Huffman trees.  Si un usuario es engañado en abrir un archivo ogg especialmente diseñado con una aplicación que use libvorbis, un atacante puede causar una negación de servicio.

CVE-2009-3379:

Fue descubierto que libvorbis no maneja correctamente algunos archivos ogg malformados.  Si un usuario es engañado en abrir un archivo ogg especialmente diseñado con una aplicación que use libvorbis, un atacante puede causar una negación de servicio o posiblemente ejecutar código en forma arbitraría con los privilegios del usuario.

USN-860-1 Noviembre 19, 2009 apache2

Enviado por sismo el Mar, 12/29/2009 - 14:19.

Errores detectados:

CVE-2009-3555

Marsh Ray y Steve Dispensa descubrieron fallas en los protocolos TLS y SSLv3. 

Si un atacante puede realizar un atacanque hombre en el medio e iniciar una conexión TLS, el atacante puede inyectar contenido en forma arbitraria en el inicio de la sesión del usuario.

La falla en la re-negociación TLS afecta potencialmente a cualquier software que soporte esta funcionalidad.  

Ataques contra el protocolo HTTPS son conocidos, la severidad del problema depende de las medidas de seguridad implementadas en la aplicación web.  Hasta que el protocolo TLS y las librerías asociadas sean modificadas para defenderse de esta vulnerabilidad, una solución parcial fue aplicada al Apache para deshabilitar la re-negociación TLS iniciada por el cliente.  Esta actualización no protege contra el re-negociaciones TLS's iniciadas cuando se usa SSLVerifyClient y SSLCipherSuite.

CVE-2009-3094

Fue descubierto que mod_proxy_ftp en apache no limpia adecuadamente las entradas cuando procesa respuestas a los comandos EPASV y PASV.  Un atacante puede usar esto para causar una negación de servicio en el proceso de Apache hijo.

CVE-2009-3095

Otra falla fue descubierta en mod_proxy_ftp.  Si apache es configurado como proxy reverso, un atacante puede enviar un encabezado HTTP especialmente diseñado para saltear los controles de acceso y enviar comandos en forma arbitraria al servidor FTP.

SVN Server (Subversion)

Enviado por sismo el Mar, 12/22/2009 - 16:55.
Tags:

Subversion es un software de sistema de control de versiones diseñado específicamente para reemplazar al popular CVS, el cual posee varias deficiencias. Es software libre bajo una licencia de tipo Apache/BSD y se le conoce también como svn por ser ese el nombre de la herramienta de línea de comandos. Una característica importante de Subversion es que, a diferencia de CVS, los archivos versionados no tienen cada uno un número de revisión independiente. En cambio, todo el repositorio tiene un único número de versión que identifica un estado común de todos los archivos del repositorio en cierto punto del tiempo.

Extraído de wikipedia

Distribuir contenido