Εμφάνιση 1-8 από 8
  1. #1
    Εγγραφή
    22-09-2003
    Μηνύματα
    81.687
    Downloads
    218
    Uploads
    48
    Άρθρα
    6
    Τύπος
    VDSL2
    Ταχύτητα
    204800/20480
    ISP
    Wind
    Router
    Technicolor DGA4130
    SNR / Attn
    6(dB) / 2.8(dB)
    Path Level
    Interleaved
    Security_new
    Οι ευπάθειες του Apache είναι υπεύθυνες για τις σημαντικότερες παραβιάσεις του. Ερευνητές της Akamai εντόπισαν πρόβλημα στον τρόπο με τον οποίο χιλιάδες projects κώδικα, χρησιμοποιούν την λειτουργία .htaccess του Apache, εκθέτοντας τον σε μη εξουσιοδοτημένη πρόσβαση και σε επίθεση μέσω file upload -αυτόματα εκτελούμενος κώδικας "φορτώνεται" σε μια εφαρμογή.

    Η λειτουργία .htaccess απενεργοποιήθηκε από προεπιλογή από την έκδοση 2.3.9, επειδή η αλόγιστη χρήση της, έκθετε σε κίνδυνο τους χρήστες. Το πρόβλημα της ευπάθειας δημιουργείται όταν ένας developer διαβάζει παλιό documentation και κάνει χρήση της .htaccess για πιστοποίηση, αντί των μεθόδων που συστήνει το Apache Foundation.

    Cashdollar said he got a feeling for the scope of the vulnerability when he explored a software project by Blueimp called jQuery File Upload. It is a frequently used file upload widget that allows many file types to be uploaded to a website built with a number of different programming languages.

    jQuery File Upload is popular. "The project in GitHub has 7,800 clones of it or forks," Cashdollar said. "So there are at least 7,800 derivatives of this vulnerable code out there." GitHub allowed him to see 1,000 of these forks, and he hand-checked dozens; all were vulnerable.
    Πηγή : Darkreading

  2. #2
    Εγγραφή
    06-07-2005
    Περιοχή
    Νέα Υόρκη
    Ηλικία
    48
    Μηνύματα
    11.616
    Downloads
    6
    Uploads
    2
    Τύπος
    Cable
    Ταχύτητα
    300 Mbps down/10 Mbps up
    ISP
    Spectrum
    Αν ο developer διαβάζει παλιό documentation, είναι άξιος της μοίρας του.

  3. #3
    Εγγραφή
    24-02-2012
    Μηνύματα
    514
    Downloads
    2
    Uploads
    0
    Τύπος
    FTTH
    Ταχύτητα
    122880/122880
    ISP
    HCN
    Παράθεση Αρχικό μήνυμα από tsigarid Εμφάνιση μηνυμάτων
    Αν ο developer διαβάζει παλιό documentation, είναι άξιος της μοίρας του.
    Το αναμενόμενο όμως, ειδικά για τόσο μεγάλα και κρίσιμα συστήματα όπως ο Apache, είναι να μη σπάει το backwards compatibility. Αν ένα σύνηθες σενάριο χρήσης σε επόμενη έκδοση κρίνεις ότι είναι επισφαλές, φροντίζεις να τροποποιήσεις την υλοποίηση με τέτοιο τρόπο ώστε και ασφαλής να γίνει εκείνο το συγκεκριμένο σενάριο αλλά και να συνεχίσουν να λειτουργούν όλα τα υπόλοιπα σενάρια που χρησιμοποιούν τα υποσυστήματα που άλλαξες. Αλλιώς είτε κάνεις fork του συστήματος και τα αλλάζεις όλα, είτε τρως πολύ, ίσως πάρα πάρα πολύ χρόνο, για να εντοπίζεις τις προβληματικές χρήσεις και να πετάς ένα κάρο warnings ή errors. Αλλιώς, αν τα 10 πρώτα αποτελέσματα στο google δίνουν διαφορετικά guidelines από τα καινούργια, τρέχα γύρευε...

    Τουλάχιστον απενεργοποίησαν εντελώς by default το htaccess. Τι θέματα θα δημιουργηθούν στα projects που δε συντηρούνται μένει να φανεί...
    Τελευταία επεξεργασία από το μέλος dkgr_ser : 19-10-18 στις 00:18.

  4. #4
    Εγγραφή
    02-07-2011
    Ηλικία
    41
    Μηνύματα
    403
    Downloads
    1
    Uploads
    0
    ISP
    HOL
    Να ήταν τυπικοί και να μην το αφήναν έτσι. Τι πάει να πει δεν έβρισκαν το Documentation και πρέπει να είναι Backwards compatible. Δηλαδή αν πας σε ένα μηχανικό αυτοκινήτων με μια BMW του 2000 θα κάνει τα ίδια με μια του 2019 γιατί δεν είχε το manual πρόχειρο;

  5. #5
    Εγγραφή
    28-07-2006
    Ηλικία
    43
    Μηνύματα
    341
    Downloads
    7
    Uploads
    0
    @dkgr_ser
    Δεν συμφωνώ όταν υπάρχει ένα project σαν τον Apache web server με τόσες εκδόσεις δεν μπορείς να περιμένεις να είναι 100% συμβατός με τις πρώτες. Πάρε παράδειγμα την Python 3++ όταν έγινε η αλλαγή της από 2 σε 3 ήταν καθοριστική, δεν υπήρχε λόγος να γίνει fork, συμβατές δεν είναι όμως η αναβάθμιση αυτή έδωσε την python σε πολύ κόσμο. Ειδικά όταν προσπαθείς να patchareis σωστά κάποια bugs κάποια στιγμή θα αλλάξει και λίγο η αρχιτεκτονική αυτού που χτίζεις. Μην ξεχνάς ή πρώτη του έκδοση ήταν το 1993 (εγώ το 93 είχα Amstrad CPC 6128). Η ευθύνη βαραίνει τους developer είναι υποχρέωσή τους να ενημερώνονται και να συντηρούν
    Μην ψάχνεις λόγους κι αφορμές να με κατηγορήσεις
    δεν φταιω εγω που δεν μπορείς εσύ να με κρατήσεις

  6. #6
    Εγγραφή
    06-07-2005
    Περιοχή
    Νέα Υόρκη
    Ηλικία
    48
    Μηνύματα
    11.616
    Downloads
    6
    Uploads
    2
    Τύπος
    Cable
    Ταχύτητα
    300 Mbps down/10 Mbps up
    ISP
    Spectrum
    Παράθεση Αρχικό μήνυμα από dkgr_ser Εμφάνιση μηνυμάτων
    Το αναμενόμενο όμως, ειδικά για τόσο μεγάλα και κρίσιμα συστήματα όπως ο Apache, είναι να μη σπάει το backwards compatibility. Αν ένα σύνηθες σενάριο χρήσης σε επόμενη έκδοση κρίνεις ότι είναι επισφαλές, φροντίζεις να τροποποιήσεις την υλοποίηση με τέτοιο τρόπο ώστε και ασφαλής να γίνει εκείνο το συγκεκριμένο σενάριο αλλά και να συνεχίσουν να λειτουργούν όλα τα υπόλοιπα σενάρια που χρησιμοποιούν τα υποσυστήματα που άλλαξες. Αλλιώς είτε κάνεις fork του συστήματος και τα αλλάζεις όλα, είτε τρως πολύ, ίσως πάρα πάρα πολύ χρόνο, για να εντοπίζεις τις προβληματικές χρήσεις και να πετάς ένα κάρο warnings ή errors. Αλλιώς, αν τα 10 πρώτα αποτελέσματα στο google δίνουν διαφορετικά guidelines από τα καινούργια, τρέχα γύρευε...

    Τουλάχιστον απενεργοποίησαν εντελώς by default το htaccess. Τι θέματα θα δημιουργηθούν στα projects που δε συντηρούνται μένει να φανεί...
    Όταν ο developer κάνει update σε οτιδήποτε, πρέπει να αναρωτηθεί αν άλλαξε κάτι. Δεν έχει σχέση με backward compatibility.

  7. #7
    Εγγραφή
    24-02-2012
    Μηνύματα
    514
    Downloads
    2
    Uploads
    0
    Τύπος
    FTTH
    Ταχύτητα
    122880/122880
    ISP
    HCN
    Παράθεση Αρχικό μήνυμα από rebeskes Εμφάνιση μηνυμάτων
    @dkgr_ser
    Δεν συμφωνώ όταν υπάρχει ένα project σαν τον Apache web server με τόσες εκδόσεις δεν μπορείς να περιμένεις να είναι 100% συμβατός με τις πρώτες. Πάρε παράδειγμα την Python 3++ όταν έγινε η αλλαγή της από 2 σε 3 ήταν καθοριστική, δεν υπήρχε λόγος να γίνει fork, συμβατές δεν είναι όμως η αναβάθμιση αυτή έδωσε την python σε πολύ κόσμο. Ειδικά όταν προσπαθείς να patchareis σωστά κάποια bugs κάποια στιγμή θα αλλάξει και λίγο η αρχιτεκτονική αυτού που χτίζεις. Μην ξεχνάς ή πρώτη του έκδοση ήταν το 1993 (εγώ το 93 είχα Amstrad CPC 6128). Η ευθύνη βαραίνει τους developer είναι υποχρέωσή τους να ενημερώνονται και να συντηρούν
    Δε διαφωνώ στο ότι οι developers έχουν/με τη βασική ευθύνη σε τέτοια συμβάντα, αλλά το ίδιο μπορείς να πεις για την ευθύνη του πλήθους και σε όλα τα υπόλοιπα προβλήματα της κοινωνίας. Αν περιμένεις όλοι να γίνουν σωστοί, απλά θα μείνεις στο περίμενε. Γι' αυτό όλες οι μεγάλες εταιρείες που δίνουν τέτοια κρίσιμα συστήματα συνήθως παίρνουν ως δεδομένο πως ο χρήστης των προϊόντων τους θα τα κάνει όλα ή σχεδόν όλα λάθος αν αφεθεί μόνος του, γι' αυτό και δημιουργούν δικλείδες ασφαλείας μέχρι αηδίας.

  8. #8
    Το avatar του μέλους konenas
    Το μέλος konenas είναι συνδεδεμένο Πρόβατα μην αυτοκτονείτε. Όλα στη σειρά. Ερχόμαστε
    Εγγραφή
    14-08-2007
    Περιοχή
    PIIGS
    Μηνύματα
    4.512
    Downloads
    4
    Uploads
    0
    Τύπος
    FTTH
    Ταχύτητα
    300 bps ή 300Mbps
    ISP
    Το άλλο Πάσχα
    Router
    OpenWrt
    Path Level
    Interleaved
    Βασικά φταίει ο developer.
    Ή αυτός του apache, ή ο άλλος.
    Όσοι το χάλκεον χέρι βαρύ του φόβου αισθάνονται,ζυγόν δουλείας ας έχωσι, θέλει αρετήν και τόλμην η ελευθερία. Ανδρέας Κάλβος
    There is some shit, I will not eat. e.e.cummings
    30 Hours per Week

Παρόμοια Θέματα

  1. Apache με σκληρό δίσκο
    Από Red Yonko στο φόρουμ Web authoring, development & web design
    Μηνύματα: 7
    Τελευταίο Μήνυμα: 01-09-18, 20:57
  2. Ερώτηση για installation του Apache Server
    Από Red Yonko στο φόρουμ Web authoring, development & web design
    Μηνύματα: 2
    Τελευταίο Μήνυμα: 26-04-18, 23:37
  3. Apache Web Server
    Από vasilisfrgr στο φόρουμ Software γενικά
    Μηνύματα: 2
    Τελευταίο Μήνυμα: 11-12-17, 16:43
  4. Μηνύματα: 21
    Τελευταίο Μήνυμα: 30-10-17, 11:46

Tags για αυτό το Θέμα

Bookmarks

Bookmarks

Δικαιώματα - Επιλογές

  • Δεν μπορείτε να δημοσιεύσετε νέα θέματα
  • Δεν μπορείτε να δημοσιεύσετε νέα μηνύματα
  • Δεν μπορείτε να αναρτήσετε συνημμένα
  • Δεν μπορείτε να επεξεργαστείτε τα μηνύματα σας
  •  
  • Τα BB code είναι σε λειτουργία
  • Τα Smilies είναι σε λειτουργία
  • Το [IMG] είναι σε λειτουργία
  • Το [VIDEO] είναι σε λειτουργία
  • Το HTML είναι εκτός λειτουργίας