Спустя несколько недель после обнаружения (http://dyadsecurity.com/webmin-0001.html) критической уязвимости в Webmin, связанной с возможностью использования (http://dyadsecurity.com/perl-0002.html) классических атак типа "format string" и "integer overflow" для Perl функций использующих для своей работы sprintf(), сообщество Perl Foundation объявило (http://www.perlfoundation.org/news/2005/webmin_flaw_alleviat...) о выпуске ряда патчей (работа над патчами пока не закончена), направленных, для предотвращения подобных атак, связанных с отсутствием в скриптах проверки получаемых от пользователя данных.
В базовую поставку Perl включен обновленный модуль Sys::Syslog (http://search.cpan.org/dist/Sys-Syslog), содержащий защиту от атак связанных с форматированием строк (в Webmin проблемы были из-за передачу в функцию syslog() непроверенных параметров).
URL: http://www.perlfoundation.org/news/2005/webmin_flaw_alleviat...
Новость: http://www.opennet.me/opennews/art.shtml?num=6616
Если мне память не изменяет об этом еще дедушка Касперский писал...
Это проблемы были актуальны примерно год назад.
да и WebMin пользуют только дети дошкольного возраста на уроках для чайников...
Webmin - крайне удобная и полезная штука. Не использовать такой инструмент просто глупо.
именно поэтому, видимо, SUN и является основным соинвестором и корпоративным поставщиком Webmin. Для детишек со 128 процессорными системами.Сколько у тебя активного юзверя онлайн сию сек? 1000, 58000, 355, двое?
Вот когда будешь справляться с сотней офисных юзверей онлайн, работающих с документами на далеком сервере, тогда и потрещишь.
глупо - не глупо, но на настроеной системе он совсем не нужен, разве что как движок для интерфейса к mldonkey.
>глупо - не глупо, но на настроеной системе он совсем не нужен,
>разве что как движок для интерфейса к mldonkey.Да-да! Монитор, клаву и KVM'ы вынести их серверной сегодня же!
Головки винтов на "настроенных" стойках посрубать зубилом!
Дверцы силовых шкафы заварить! Замки в дверях заклепать!
Аминь.