|
Вариант для распечатки |
Пред. тема | След. тема | ||
Форум Разговоры, обсуждение новостей | |||
---|---|---|---|
Изначальное сообщение | [ Отслеживать ] |
"Уязвимость в Webmin, позволяющая удалять произвольные файлы ..." | +/– | |
Сообщение от opennews on 10-Сен-14, 15:07 | ||
В проекте Webmin выявлена (https://sites.utexas.edu/iso/2014/09/09/arbitrary-file-delet.../) опасная уязвимость, позволяющая аутентифицированным пользователям удалить любой файл в системе. Операция удаления производится из обработчика заданий cron, выполняемого с правами пользователя root. Проблема вызвана некорректной обработкой файлов блокировки, которые создаются с использованием в имени файла содержимого одной из передаваемых пользователем переменных. Указав в переменной username относительны путь к файлу и разделив его нулевым символом (например, "../../../../etc/passwd%00"), будет осуществлён вызов unlink("../../../../etc/passwd\0.lock") в директории с файлами блокировки, что приведёт к удалению файла /etc/passwd. | ||
Ответить | Правка | Cообщить модератору |
Оглавление |
Сообщения по теме | [Сортировка по времени | RSS] |
1. "Уязвимость в Webmin, позволяющая удалять произвольные файлы ..." | +11 +/– | |
Сообщение от daemontux on 10-Сен-14, 15:07 | ||
За использование этой хрени нужно бить по рукам. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
3. "Уязвимость в Webmin, позволяющая удалять произвольные файлы ..." | –3 +/– | |
Сообщение от ck80 (ok) on 10-Сен-14, 15:32 | ||
"Эту хрень" тоже можно настроить так, что она будет безопасна в использовании. Перевесить на нестандартный порт, пускать только одного пользователя и т.д. | ||
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору |
5. "Уязвимость в Webmin, позволяющая удалять произвольные файлы ..." | +14 +/– | |
Сообщение от vitalif (ok) on 10-Сен-14, 15:53 | ||
...отключить от интернета и закрыть в железный ящик... | ||
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору |
14. "Уязвимость в Webmin, позволяющая удалять произвольные файлы ..." | +/– | |
Сообщение от Аноним (??) on 10-Сен-14, 18:38 | ||
А ящик поставить за забором, натянув колючую проволоку и выпустив злых собак. На всякий случай часовых поставить. Мало ли чего. | ||
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору |
18. "Уязвимость в Webmin, позволяющая удалять произвольные файлы ..." | +1 +/– | |
Сообщение от Аноним (??) on 10-Сен-14, 19:15 | ||
И пулемет на крышу поставим, консервы охранять... © | ||
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору |
21. "Уязвимость в Webmin, позволяющая удалять произвольные файлы ..." | +1 +/– | |
Сообщение от Нанобот (ok) on 10-Сен-14, 20:05 | ||
+ров с пираньями или аллигаторами | ||
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору |
31. "Уязвимость в Webmin, позволяющая удалять произвольные файлы ..." | +1 +/– | |
Сообщение от Аноним (??) on 11-Сен-14, 06:00 | ||
"Безопасной можно считать лишь систему, котоpая выключена, замуpована в бетонный коpпус, запеpта в помещении со свинцовыми стенами и охpаняется вооpуженным каpаулом, — но даже в этом случае сомнения не оставляют меня." (c) | ||
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору |
33. "Уязвимость в Webmin, позволяющая удалять произвольные файлы ..." | +1 +/– | |
Сообщение от rshadow (ok) on 11-Сен-14, 06:57 | ||
Несомненно. Но еще есть такое понятие как: "говнокод" ... | ||
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору |
30. "Уязвимость в Webmin, позволяющая удалять произвольные файлы ..." | –1 +/– | |
Сообщение от Sabakwaka (ok) on 11-Сен-14, 03:38 | ||
VPN будит такие же эмоции? | ||
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору |
7. "Уязвимость в Webmin, позволяющая удалять произвольные файлы ..." | +4 +/– | |
Сообщение от Аноним (??) on 10-Сен-14, 16:18 | ||
Школьные у вас представления о безопасности. | ||
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору |
48. "Уязвимость в Webmin, позволяющая удалять произвольные файлы ..." | +/– | |
Сообщение от XoRe (ok) on 13-Сен-14, 02:35 | ||
> "Эту хрень" тоже можно настроить так, что она будет безопасна в использовании. | ||
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору |
10. "Уязвимость в Webmin, позволяющая удалять произвольные файлы ..." | –1 +/– | |
Сообщение от Аноним (??) on 10-Сен-14, 17:37 | ||
>За использование этой хрени нужно бить по рукам. | ||
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору |
2. "Уязвимость в Webmin, позволяющая удалять произвольные файлы ..." | –1 +/– | |
Сообщение от Аноним (??) on 10-Сен-14, 15:12 | ||
В Superb Mini Server 2.0.7 включен поправленный WebMin. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
4. "Уязвимость в Webmin, позволяющая удалять произвольные файлы ..." | +4 +/– | |
Сообщение от Сергей (??) on 10-Сен-14, 15:39 | ||
> В проекте Webmin выявлена опасная уязвимость | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
9. "Уязвимость в Webmin, позволяющая удалять произвольные файлы ..." | +3 +/– | |
Сообщение от littlesavage (ok) on 10-Сен-14, 17:22 | ||
Никогда его нигде не ставлю. А там, где достается от старых админов - сношу практически сразу же. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
36. "Уязвимость в Webmin, позволяющая удалять произвольные файлы ..." | –1 +/– | |
Сообщение от SubGun (??) on 11-Сен-14, 07:36 | ||
Зачем? | ||
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору |
40. "Уязвимость в Webmin, позволяющая удалять произвольные файлы ..." | +2 +/– | |
Сообщение от Аноним (??) on 11-Сен-14, 10:37 | ||
Зашел в тему только чтоб похвастаться? | ||
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору |
11. "Уязвимость в Webmin, позволяющая удалять произвольные файлы ..." | –4 +/– | |
Сообщение от mcshel (ok) on 10-Сен-14, 17:46 | ||
Вообще смысла не вижу в webmin, уж лучше сразу учиться работать в консоле для молодых админов. Тем более, что и M$ в поледние годы активно внедряет и переводит всех на Powershell. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
23. "Уязвимость в Webmin, позволяющая удалять произвольные файлы ..." | +6 +/– | |
Сообщение от Аноним (??) on 10-Сен-14, 21:00 | ||
> годы активно внедряет и переводит всех на Powershell. | ||
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору |
24. "Уязвимость в Webmin, позволяющая удалять произвольные файлы ..." | +4 +/– | |
Сообщение от Аноним (??) on 10-Сен-14, 21:14 | ||
> консоле | ||
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору |
41. "Уязвимость в Webmin, позволяющая удалять произвольные файлы ..." | +/– | |
Сообщение от Аноним (??) on 11-Сен-14, 10:40 | ||
>> консоле | ||
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору |
44. "Уязвимость в Webmin, позволяющая удалять произвольные файлы ..." | +/– | |
Сообщение от XoRe (ok) on 13-Сен-14, 02:14 | ||
Не нужно быть Онотоле, | ||
Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору |
12. "Уязвимость в Webmin, позволяющая удалять произвольные файлы ..." | –1 +/– | |
Сообщение от Аноним (??) on 10-Сен-14, 17:55 | ||
аналог бесплатного webmin - vestacp. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
16. "Уязвимость в Webmin, позволяющая удалять произвольные файлы ..." | +/– | |
Сообщение от Logo (ok) on 10-Сен-14, 18:47 | ||
Шо-то я не понял, что тут беплатное. | ||
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору |
22. "Уязвимость в Webmin, позволяющая удалять произвольные файлы ..." | +1 +/– | |
Сообщение от Stax (ok) on 10-Сен-14, 20:09 | ||
"бесплатного webmin", написано же. | ||
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору |
13. "Уязвимость в Webmin, позволяющая удалять произвольные файлы ..." | –3 +/– | |
Сообщение от th3m3 (ok) on 10-Сен-14, 18:30 | ||
Если нужен гуй, то Ajenti V неплоха. Она на Python, никакого php. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
15. "Уязвимость в Webmin, позволяющая удалять произвольные файлы ..." | +2 +/– | |
Сообщение от Logo (ok) on 10-Сен-14, 18:43 | ||
Ага, а вот Webmin вы и в глаза не видели. | ||
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору |
45. "Уязвимость в Webmin, позволяющая удалять произвольные файлы ..." | +/– | |
Сообщение от XoRe (ok) on 13-Сен-14, 02:15 | ||
> Если нужен гуй, то Ajenti V неплоха. Она на Python, никакого php. | ||
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору |
17. "Уязвимость в Webmin, позволяющая удалять произвольные файлы ..." | +/– | |
Сообщение от Logo (ok) on 10-Сен-14, 18:52 | ||
Прикольные комментарии, у одного лютая ненависть, у другого полнейшее незнание, а остальным - по-болтать :) | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
19. "Уязвимость в Webmin, позволяющая удалять произвольные файлы ..." | +/– | |
Сообщение от Michael Shigorin (ok) on 10-Сен-14, 19:47 | ||
> Не подходит вам, не применяйте, а если нужно то ставьте и настраивайте, | ||
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору |
26. "Уязвимость в Webmin, позволяющая удалять произвольные файлы ..." | –1 +/– | |
Сообщение от Logo (ok) on 10-Сен-14, 23:20 | ||
Дело не в успокаивании, а в том, что те, кто писал раньше реплики, сам никогда не работал с вебмином, а накосячить можно и через ssh и протчими действиями. Ну есть проблемы в вебмине, есть, все зависит от применимости его. Если я даю кому-то контроль через вебмин, то оставляю только то, что не принесет вреда, а сам работаю через ssh и поверьте, угрозы от этого серверу не меньше и файлы иногда пропадают :) | ||
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору |
46. "Уязвимость в Webmin, позволяющая удалять произвольные файлы ..." | +/– | |
Сообщение от XoRe (ok) on 13-Сен-14, 02:18 | ||
Подумайте о том, что уязвимость нашли в модуле заданий Cron. | ||
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору |
20. "Уязвимость в Webmin, позволяющая удалять произвольные файлы ..." | –5 +/– | |
Сообщение от Нанобот (ok) on 10-Сен-14, 20:01 | ||
>unlink("../../../../etc/passwd\0.lock") | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
25. "Уязвимость в Webmin, позволяющая удалять произвольные файлы ..." | +1 +/– | |
Сообщение от Аноним (??) on 10-Сен-14, 21:16 | ||
Где кривизна перла-то, клован? | ||
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору |
27. "Уязвимость в Webmin, позволяющая удалять произвольные файлы ..." | –3 +/– | |
Сообщение от тигар (ok) on 10-Сен-14, 23:28 | ||
> Где кривизна перла-то, клован? | ||
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору |
28. "Уязвимость в Webmin, позволяющая удалять произвольные файлы ..." | +/– | |
Сообщение от Аноним (??) on 10-Сен-14, 23:41 | ||
Удивительно :-) | ||
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору |
29. "Уязвимость в Webmin, позволяющая удалять произвольные файлы ..." | +/– | |
Сообщение от YetAnotherOnanym (ok) on 11-Сен-14, 02:15 | ||
> пегл мертв | ||
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору |
37. "Уязвимость в Webmin, позволяющая удалять произвольные файлы ..." | –1 +/– | |
Сообщение от SubGun (??) on 11-Сен-14, 07:40 | ||
> *побежал удалять SpamAssassin* | ||
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору |
42. "Уязвимость в Webmin, позволяющая удалять произвольные файлы ..." | –2 +/– | |
Сообщение от Нанобот (ok) on 11-Сен-14, 10:44 | ||
кривизна перла состоит в том, что вызов функции типа unlink("/etc/passwd\0ololo") не может быть корректно преобразован в системный вызов операционной системы. вместо того, чтобы сообщить об ошибке, перл игнорирует её и на морозе производит системный вызов в заведомо неправильным параметром "/etc/passwd" | ||
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору |
43. "Уязвимость в Webmin, позволяющая удалять произвольные файлы ..." | +1 +/– | |
Сообщение от angra (ok) on 11-Сен-14, 12:32 | ||
Perl разрешает выстрелить себе в ногу, так как предполагает наличие разума у программиста. Если ты передал строку с \0, значит это было тебе нужно. А для защиты от прихода подобных данных извне в нем есть taint mode и регексы. Если разработчики webmin не используют taint mode, то это их проблема, а не perl. | ||
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору |
34. "Уязвимость в Webmin, позволяющая удалять произвольные файлы ..." | –2 +/– | |
Сообщение от Адекват (ok) on 11-Сен-14, 07:25 | ||
щас меня опять говном закидают, но я все равно спрошу: | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
35. "Уязвимость в Webmin, позволяющая удалять произвольные файлы ..." | +/– | |
Сообщение от тигар (ok) on 11-Сен-14, 07:34 | ||
> щас меня опять говном закидают, но я все равно спрошу: | ||
Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору |
38. "Уязвимость в Webmin, позволяющая удалять произвольные файлы ..." | +1 +/– | |
Сообщение от oopsy on 11-Сен-14, 09:37 | ||
Вы так делаете? | ||
Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору |
39. "Уязвимость в Webmin, позволяющая удалять произвольные файлы ..." | +2 +/– | |
Сообщение от Аноним (??) on 11-Сен-14, 10:02 | ||
>>и скурпулезно | ||
Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору |
47. "Уязвимость в Webmin, позволяющая удалять произвольные файлы ..." | +/– | |
Сообщение от XoRe (ok) on 13-Сен-14, 02:29 | ||
> щас меня опять говном закидают, но я все равно спрошу: | ||
Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору |
Архив | Удалить |
Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема |
Закладки на сайте Проследить за страницей |
Created 1996-2024 by Maxim Chirkov Добавить, Поддержать, Вебмастеру |