The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Софт для списков рассылки


<< Предыдущая ИНДЕКС Поиск в статьях src Установить закладку Перейти на закладку Следующая >>

- BEST_WORDS (2:5077/15.22) ---------------------------- BEST_WORDS (RU.UNIX) -
 From : Vladimir Butenko                    2:5020/400      21 Mar 01  04:54:30
 Subj : Re: Софт для списков рассылки
-------------------------------------------------------------------------------
 * Forwarded from area 'RU.UNIX'

From: "Vladimir Butenko" <[email protected]>


Valentin Davydov <[email protected]> wrote in message
news:[email protected]...
> >   From: "Andrew A. Vasilyev" <[email protected]>
> >   Date: Fri, 16 Mar 2001 21:33:27 +0000 (UTC)
> >
> >>  AAV>   в [inet-admins] дырявость Majordomo, но про CGP как list
manager
> >>  AAV>   почему-то никто не вспомнил. :((((
> >> И как у него с дырявостью?
> >
> >  А никак. Последний серьёзный прикол был год назад. Или полтора?
> >  Последний наезд со стороны SecurityFocus касался того, что по ответу
> >  на неправильный login можно было понять - есть ли такой account или
> >  нет.
>
> А как насчёт ../../../../чего-надо через http интерфейс? Это тоже не так
> давно было...

Это и было год назад. Точнее - это было раньше, и исправлено было раньше
(ну, бля, ну написал я спьяну в одном месте
strchr(documentName,'\\') != NIL && strchr(documentName,'/') != NIL
вместо || - ну, не заметил :-)

А год назад этот герой из Испании наконец все нашел и замучил
меня письмами, что мол - щас опубликую. Я его и послал, сказав, что
от его публикации - пользы только хакерам, и чтобы он пошел на ^*8
вместе с его security firm, и что если бы он жил в нормальной стране,
то я бы его засудил на хрен за такие "находки". Hу он и опубликовал -
ну и пришлось официально версию на две недели раньше выпустить -
потому что хоть к этому времени в бетах это уже было месяцев много
как исправлено, масса народу беты юзать не может по корпоративным
правилам.
Короче - еще один линухоман. Если бы действительно что полезное
нашли...

А с login - это вообще улет. Hу да, можно, собирать адреса через
POP или IMAP - глядя на код ответа - "плохой пароль" или "такого нету".
Hу так ведь на ЛЮБОМ (почти) сервере кроме CGP - это все можно
собрать через SMTP - подбирая имена через RCPT TO - и не озабачиваясь
паролями вообще.

КОроче - это все чайники. А секурные дырки есть везде и во всем.
Вопрос в том, что искать и устранять их должны сами производители.
Без излишнего шума, который только хакеров привлекает.

Практически любой Линух можно завалить из сети, и каждый третий -
вскрыть до рута. Мне что, опубликовать как это делать - на сети? И
кому от этого будет хорошо?



> Вал. Дав.

Вова,
собираясь на местную дискотеку. "Московские таксисты, тут ставшие
программистами".
Интересно посмотреть :-) Hо недолго...


--- ifmail v.2.15dev5
 * Origin: Gamma NNTP server Moscow Russia (2:5020/400)

<< Предыдущая ИНДЕКС Поиск в статьях src Установить закладку Перейти на закладку Следующая >>



Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру