|
 Вариант для распечатки |
Пред. тема | След. тема | ||
Форумы
Разговоры, обсуждение новостей (Public)
| |||
|---|---|---|---|
| Изначальное сообщение | [ Отслеживать ] | ||
| "Уязвимость в WebDAV модуле nginx" | +/– | |
Сообщение от opennews  on 24-Сен-09, 21:46 | ||
В WebDAV модуле nginx (ngx_http_dav_module (http://www.sysoev.ru/nginx/docs/http/ngx_http_dav_module.html)) обнаружена уязвимость (http://archives.neohapsis.com/archives/fulldisclosure/2009-0...), дающая злоумышленнику возможность записи данных за пределы корневой директории (document root) при использовании в пути назначения последовательности "../" для команд "MOVE" и "COPY". Пример: "COPY /index.html HTTP/1.1\nHost: localhost\nDestination: http://localhost/../../../../../../../tmp/nginx.html". | ||
| Высказать мнение | Ответить | Правка | Cообщить модератору | ||
| Оглавление |
|
| Сообщения по теме | [Сортировка по времени | RSS] |
| 1. "Уязвимость в WebDAV модуле nginx" | +/– | |
Сообщение от Zenitur  on 24-Сен-09, 21:46 | ||
Спасибо сообществу, что оно его нашло. | ||
| Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору | ||
| 2. "Уязвимость в WebDAV модуле nginx" | +/– | |
| Сообщение от аноним on 24-Сен-09, 21:58 | ||
../, это вообще позорище. | ||
| Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору | ||
| 3. "Уязвимость в WebDAV модуле nginx" | –1 +/– | |
| Сообщение от hhg (ok) on 24-Сен-09, 22:30 | ||
хм. имхо давно про это известно а я так вообще считал что это фича такая, а не баг. | ||
| Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору | ||
 | ||
| 4. "Уязвимость в WebDAV модуле nginx" | +/– | |
| Сообщение от User294 (ok) on 25-Сен-09, 01:49 | ||
Да, конечно, это фича. Даже очень ценная. С точки зрения хаксоров, разумеется. Позволяет шариться по файловой ФС с правами сервера без особых ограничений. Проблема только в том что в то время как хакеры ссут от фичи кипятком, админы не разделяют их бурного восторга почему-то :) | ||
| Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору | ||
| 6. "Уязвимость в WebDAV модуле nginx" | +/– | |
| Сообщение от hhg (ok) on 25-Сен-09, 10:31 | ||
не понимаю восторгов. эти команды разрешены только определённым пользователям(которые и так шариться по FS могут), а остальные фейсом не вышли. | ||
| Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 7. "Уязвимость в WebDAV модуле nginx" | +/– | |
| Сообщение от Антон (??) on 25-Сен-09, 12:26 | ||
>не понимаю восторгов. эти команды разрешены только определённым пользователям(которые и так шариться | ||
| Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору | ||
| 8. "Уязвимость в WebDAV модуле nginx" | –1 +/– | |
| Сообщение от Аноним (??) on 25-Сен-09, 13:12 | ||
убунта каждый день с настойчивостью предлагает обновить тот или иной пакет, количество дыр в открытом софте просто огромно, несмотря на всю его открытость, и нету такого что мильёны глаз смотрят в этот код и ищут дыры. Хакеры ищут да, но фиксами не делятся. А большая защищенность открытого ПО это миф. Фишка открытого ПО немного в другом. | ||
| Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 10. "Уязвимость в WebDAV модуле nginx" | +/– | |
| Сообщение от красноглазый on 25-Сен-09, 18:00 | ||
Убунта хоть ежедневно предлагает обновления для кучи дыр. Всем бесплатно. | ||
| Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору | ||
| 9. "Уязвимость в WebDAV модуле nginx" | +/– | |
| Сообщение от Nas_tradamus (ok) on 25-Сен-09, 17:34 | ||
Забавно - я отключил этот модуль во время прошлой пересборки nginx, которую спровоцировала предыдущая найденная уязвимость. ;) | ||
| Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору | ||
|
Архив | Удалить |
Индекс форумов | Темы | Пред. тема | След. тема |
