| 1.1, Ы (?), 22:35, 29/08/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Внезапно!Версии ниже 3.0.0 это не касается или они не поддерживаются?
| | |
| |
| 2.16, Aquarius (ok), 10:50, 31/08/2011 [^] [^^] [^^^] [ответить]
| +/– |
 Внезапно!
код чуть не с нуля переписан
если не ошибаюсь, аж в двух местах:
2.6 -> 2.7
2.x -> 3.x
| | |
|
| 1.2, Аноним (-), 22:41, 29/08/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
> Временным решением проблемы может послужить блокирование доступа к Gopher через ACL:
ИМХО можно напостоянно так и оставить. Лишний протокол = лишние баги. И им никто давно уже не пользуется. Зачем его вообще таскают?
| | |
| 1.3, funt (?), 22:42, 29/08/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Gopher его еще кто то использует, зачем он вообще там нужен, можно уже было его давно выпилить
| | |
| |
| |
| 3.8, Аноним (-), 04:38, 30/08/2011 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> По крайней мере его никто не отменял.
Да в общем то не принято совсем отменять протоколы. Поэтому даже крайне древние протоколы формально не отменены. И? Практически все современные браузеры выбросили поддержку gopher. И серверов с ним на всю планету осталось несколько штук. Поэтому нет никакого смысла его таскать. А вот чем больше кода - тем больше багов (включая уязвимости, о чем и повествует данная новость).
| | |
|
|
| 1.5, Пиу (?), 23:28, 29/08/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
Критическая уязвимость в модуле Gopher прокси-сервера Squid
| | |
| 1.6, Аноним (-), 00:17, 30/08/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
ЧСХ, большинство дистров еще даже не почесалось насчет доса апача.
А за сабжевую дыру, хорошо, если к новому году возьмутся.
| | |
| |
| |
| 3.9, Аноним (-), 04:39, 30/08/2011 [^] [^^] [^^^] [ответить]
| +/– | |
> хотя апачевцы в серьёз взялись и кажись это проблема протокола хттп
А почему у остальных сервера от таких приколов не клинит? Ну или покажите заклиненый таким манером nginx, например?
| | |
| |
| 4.15, Аноним (-), 14:43, 30/08/2011 [^] [^^] [^^^] [ответить]
| +/– | |
>А почему у остальных сервера от таких приколов не клинит?
тот же IIS игнорирует стандарт, и его не клинит.
| | |
|
|
|
| 1.11, XoRe (ok), 11:11, 30/08/2011 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
 Забавно.
Из большой пятерки браузеров его никто не поддерживает.
Только у FF есть плагин.
Это надо ещё постараться найти клиент, который зайдет на gopher.
А потом найти клиент, который зайдет на gopher через прокси.
А потом найти клиент, который зайдет на gopher через прокси и попадет на сервер злоумышленников.
Да можно конкурс устроить "кто умудрится стать жертвой уязвимости gopher?"
| | |
| |
| 2.12, Ivan_Pisarevsky (?), 12:30, 30/08/2011 [^] [^^] [^^^] [ответить]
| +2 +/– |
Было бы желание... заранее заготовить свой сервер, разослать хомячкам с "самой лучшей в мире ОСью" трояна с функционалом сабжевого клиента и теперь долбится оный троян на подставной сервер через прокси, которой указан в бравзере... Как бы цепочка не сказать чтоб длинная и нереализуемая.
| | |
| |
| 3.14, Аноним (-), 14:03, 30/08/2011 [^] [^^] [^^^] [ответить]
| +1 +/– | |
Прямо всемирный заговор по захвату squid'а какой-то :)
Кстати, если вы уже поназаражали хомячков троянами - да зачем вам этот squid сдался с его супер-протоколом, когда у вас уже и так есть целый ботнет?! Соотношение затраченных усилий и результата - невкусное.
| | |
|
| 2.13, Moomintroll (ok), 13:48, 30/08/2011 [^] [^^] [^^^] [ответить]
| +1 +/– |
 Эта уязвимость не в клиенте - браузере, а в squid'е!
Т.е. атакуется прокся самописным клиентом, perl-скриптом, например, с использованием подставного gopher-сервера, который ради одного запроса тоже можно самому склепать на том же perl'е.
| | |
|
| 1.17, www2 (??), 13:57, 31/08/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Заблокировал, дрожа от страха. Жду когда ко мне придут разъярённые пользователи, пользующиеся этим протоколом. Хочу посмотреть на такого человека.
| | |
|
