- BEST_WORDS (2:5077/15.22) ---------------------------- BEST_WORDS (RU.UNIX) -
From : Vladimir Butenko 2:5020/400 21 Mar 01 04:54:30
Subj : Re: Софт для списков рассылки
-------------------------------------------------------------------------------
* Forwarded from area 'RU.UNIX'
From: "Vladimir Butenko" <butenko@stalker.com>
Valentin Davydov <val@sqdp.trc-net.co.jp> wrote in message
news:98vn7r$2a8k$2@news.pu.ru...
> > From: "Andrew A. Vasilyev" <andy@demos.su>
> > Date: Fri, 16 Mar 2001 21:33:27 +0000 (UTC)
> >
> >> AAV> в [inet-admins] дырявость Majordomo, но про CGP как list
manager
> >> AAV> почему-то никто не вспомнил. :((((
> >> И как у него с дырявостью?
> >
> > А никак. Последний серьёзный прикол был год назад. Или полтора?
> > Последний наезд со стороны SecurityFocus касался того, что по ответу
> > на неправильный login можно было понять - есть ли такой account или
> > нет.
>
> А как насчёт ../../../../чего-надо через http интерфейс? Это тоже не так
> давно было...
Это и было год назад. Точнее - это было раньше, и исправлено было раньше
(ну, бля, ну написал я спьяну в одном месте
strchr(documentName,'\\') != NIL && strchr(documentName,'/') != NIL
вместо || - ну, не заметил :-)
А год назад этот герой из Испании наконец все нашел и замучил
меня письмами, что мол - щас опубликую. Я его и послал, сказав, что
от его публикации - пользы только хакерам, и чтобы он пошел на ^*8
вместе с его security firm, и что если бы он жил в нормальной стране,
то я бы его засудил на хрен за такие "находки". Hу он и опубликовал -
ну и пришлось официально версию на две недели раньше выпустить -
потому что хоть к этому времени в бетах это уже было месяцев много
как исправлено, масса народу беты юзать не может по корпоративным
правилам.
Короче - еще один линухоман. Если бы действительно что полезное
нашли...
А с login - это вообще улет. Hу да, можно, собирать адреса через
POP или IMAP - глядя на код ответа - "плохой пароль" или "такого нету".
Hу так ведь на ЛЮБОМ (почти) сервере кроме CGP - это все можно
собрать через SMTP - подбирая имена через RCPT TO - и не озабачиваясь
паролями вообще.
КОроче - это все чайники. А секурные дырки есть везде и во всем.
Вопрос в том, что искать и устранять их должны сами производители.
Без излишнего шума, который только хакеров привлекает.
Практически любой Линух можно завалить из сети, и каждый третий -
вскрыть до рута. Мне что, опубликовать как это делать - на сети? И
кому от этого будет хорошо?
> Вал. Дав.
Вова,
собираясь на местную дискотеку. "Московские таксисты, тут ставшие
программистами".
Интересно посмотреть :-) Hо недолго...
--- ifmail v.2.15dev5 * Origin: Gamma NNTP server Moscow Russia (2:5020/400)
