https://www.opennet.ru/openforum/vsluhforumID3/90368.html В открытой панели управления хостингом Zpanel выявлена (http://seclists.org/fulldisclosure/2013/Jun/39) критическая уязвимость, позволяющая любому пользователю, имеющему доступ к интерфейсу панели управления (в том числе клиентам и реселлерам), выполнить произвольные команды на сервере с правами пользователя root. Ошибка вызвана сочетанием отсутствия должных проверок входящих значений с наличием средств для выполнения произвольных операций с правами пользователя root.<br><br><br>В частности, пользователь может поменять пароль root указав вместо имени пользователя ";/etc/zpanel/panel/bin/zsudo "echo 'newpassword'" "&#124; passwd --stdin root" #", а затем включить возможность входа пользователем root по ssh указав ";/etc/zpanel/panel/bin/zsudo sed '-i "s/#*\(PermitRootLogin\)/\1 yes<br>\#/" /etc/ssh/*hd*g' #". Проблема пока остаётся неисправленной и присутствует в последнем (http://www.zpanelcp.com/download/) стабильном выпуске Zpanel 10.0.0.2.<br><br>URL: http://seclists.org/fulldisclosure/2013/Jun/39<br>Новость: http://www.o https://www.opennet.ru/openforum/vsluhforumID3/90368.html#84 Tue, 11 Jun 2013 23:04:00 GMT Панелька красивая, жаль, что дырявая, кому не лень, отпишите им, что у них еще в форме логина инъекция, а-то совсем уж не красиво получается, не зная логина и пасса, авторизовался и делай от рута что хочешь.<br><br>Зы: по линку выше сервак с вендой, багу из сабжа не тестил.<br> https://www.opennet.ru/openforum/vsluhforumID3/90368.html#83 Tue, 11 Jun 2013 17:20:56 GMT Питаться самому пройти допустим путь OpenBSD, не глупость. Был паровой двигатель но этого было мало, так и пришли постепенно до двигателя внутреннего сгорания. Хотите сделать свое, нет проблем, не стоит думать о том что уже есть. Надо подумать над тем чем ваш вариант будет лучше, вот и все.<br><br>Основная проблема некоторого ПО в том что вместо оптимизации, разработчики просто повышают системные требования, и тогда недостатки ПО покрываются за счет более мощного оборудования.<br><br>Возможно ваша программа не стала более безопасной, но если вы используете программу только для своих нужд то вы способны оценить все риски. Другое дело когда продукт типа Zpanel которая всегда подключена в интернету, имеет столь критические уязвимости.<br><br>На мой взгляд чистота кода это показатель знаний программиста, да что бы научится нужна практика. Но например Zpanel выбрали слишком специфичную категорию для создания практического полигона.<br> https://www.opennet.ru/openforum/vsluhforumID3/90368.html#82 Tue, 11 Jun 2013 01:37:23 GMT &gt; Ты у нас вообще очень впечатлительный :) <br><br>И исполнительный. Каюсь, не читал, что меня там впечатляет, но раз попросили...<br><br> https://www.opennet.ru/openforum/vsluhforumID3/90368.html#81 Tue, 11 Jun 2013 01:36:37 GMT &gt; Использовать OpenBSD скажем из за опций компилятора, это значит изначально ограничить себя <br>&gt; и свои возможности. Хорошим тоном будет знать, чем специфичны данные опции <br>&gt; и насколько они уникальны для конкретной системы и главное насколько они необходимы.<br><br>Пытаться самому пройти весь путь openbsd - это немного глупо, не находите? Если нужна безопасность, то самый простой способ - это взять openbsd, где большинство типовых проблем уже решилось.<br><br><br>&gt; Насчет времени генерации, представим что у вас на каждом повороте будет 0.2 <br>&gt; вместо 0.1, для Васи сначала это заметно не будет, пока таких <br>&gt; поворотов очень мало, но когда их станет больше Вася увидит падание <br>&gt; производительности.<br><br>Оптимизацию снизу и начинать не стоит. Оптимизировать стоит то, что вызывает реальную проблему. Не надо представлять, на каком повороте что будет, нужно смотреть на всю задачу, а не на детали.<br><br><br>&gt; Например PHP простой и очень популярный язык, а теперь посмотрите например на <br>&gt; Zpanel из за чего продукт получился небез https://www.opennet.ru/openforum/vsluhforumID3/90368.html#80 Tue, 11 Jun 2013 00:19:18 GMT &gt; А какие свободные и популярные панели мы знаем ?<br><br>Вы можете знать только о тех, о которых в ваших M$-методичках написано.<br> https://www.opennet.ru/openforum/vsluhforumID3/90368.html#79 Mon, 10 Jun 2013 20:23:40 GMT Нервного типа у меня нет. Конечно язык программирования, может заведомо избавлять программиста от ряда ошибок. Чтобы его код был более профессиональным, несмотря на небольшой опыт программирования на данном языке. Но этого все равно сложно добиться, и такой язык со временем может превратится в ограниченный язык, поскольку жесткие рамки сужают круг возможностей.<br><br>Использовать OpenBSD скажем из за опций компилятора, это значит изначально ограничить себя и свои возможности. Хорошим тоном будет знать, чем специфичны данные опции и насколько они уникальны для конкретной системы и главное насколько они необходимы.<br><br>Насчет времени генерации, представим что у вас на каждом повороте будет 0.2 вместо 0.1, для Васи сначала это заметно не будет, пока таких поворотов очень мало, но когда их станет больше Вася увидит падание производительности.<br> <br>Вы хотите чтобы все за вас делал сам язык, и чтобы код был максимально корректным. Но этого не будет, хотя если через какое то время такая возможность появится то программис https://www.opennet.ru/openforum/vsluhforumID3/90368.html#78 Mon, 10 Jun 2013 15:17:59 GMT &gt; Пчелы против меда, рок против наркотиков<br><br>Пистонщики против кривых недоязыков...<br> https://www.opennet.ru/openforum/vsluhforumID3/90368.html#77 Mon, 10 Jun 2013 15:16:21 GMT &gt;&gt; а чего я... сам дурак...<br>&gt; ваши доводы впечатляют<br><br>Ну при чем здесь я? Просто очень забавно наблюдать, как адепт пистона рассуждает о кривости пыха. Пчелы против меда, рок против наркотиков, и все такое :)<br> https://www.opennet.ru/openforum/vsluhforumID3/90368.html#76 Mon, 10 Jun 2013 14:39:34 GMT Ты у нас вообще очень впечатлительный :)<br>