Kloxo (ex. LxAdmin) множественные уязвимости, Опять галактика в опасности.. Опции

[lazutov]

Уязвимости найдете через google по слову kloxo .
Публиковать ссылки я не могу.
Изучите, пожалуйста данные уязвимости (более 20) и сделайте все, чтобы клиенты не были без вины виноватые.
Спасибо.
PS Hypervm подозревается на похожие дырки. Совет тут общий, либо ее выключать, либо читать логи

[eSupport.org.ua]

Гм. Иногда такие совпадения я называю подарками судьбы.
Только пару дней назад как я сдал полностю с себя полномочия проекта именно на этой системе.

А по уязвимостям - скрипт то написан на php и зазенден. Так что не удивительно, что его раззендели и нашли дырки.

[lazutov]

На каждый зенд есть антизенд.
На ионкуб тоже, но частичный.
Но: закрытый код не дает права не фильтровать вход. Это вообще даже самому начинающему бы в голову пришло закрыть.
Его что, писали на коленке?

[eSupport.org.ua]

Не на коленке, но как и любой код, написанный человеком - он несет в себе дырки

[lazutov]

Некоторые из уязвимостей смешны до безобразия.
Кстати, очень показательные дырки.

Сообщение отредактировал lazutov - 08.06.2009, 15:16

[support_host]

Не на коленке, но как и любой код, написанный человеком - он несет в себе дырки

Да ладно? Если человек не ламососка называющая себя "программистом", то дырок не будет. (IMG:style_emoticons/default/dry.gif)

[eSupport.org.ua]

Напишите аналог Lxadmin и там тоже будут дыры

[2175]

Да ладно? Если человек не ламососка называющая себя "программистом", то дырок не будет. (IMG:style_emoticons/default/dry.gif)

Не бывает здоровых пациентов, бывают недообследованные (IMG:style_emoticons/default/smile.gif)

[different]

Да ладно? Если человек не ламососка называющая себя "программистом", то дырок не будет. (IMG:style_emoticons/default/dry.gif)

Т.е. программистов не существует, т.к. ни одной на 100% безглючной программы уровнем повыше калькулятора еще не написано? (IMG:style_emoticons/default/smile.gif)

А Linux, Solaris ,Oracle, Cisco IOS - писали "ламососки", ведь дыры там тоже находят, хотя и редко?

[support_host]

Опять вы сравниваете впринципе не сравнимые вещи.
Не хочу начинать опять рассказывать вам анекдот "ПАПА ГДЕ МОРЕ", вы все равно его не поймете, за сим удаляюсь.

[lazutov]

В LxLabs видимо и "писали в 2 строчки".

Ну как можно не знать, что если создаем домен, субдомен итд и на месте папки символьная ссылка, то ее надо rm -f
# у этой дырки из IspCpOmega корни, как мне кажется, могу ошибаться

Как можно не фильтровать на странице входа?
Как можно не фильтровать данные из _GET?
Как можно вообще не зная никсов писать под ниx?

different: в данном случае ВЫ не правы.
Есть дырки разного уровня. Есть недочеты в шариковых ручках, а есть в космических шатлах.
Последствия и "уровни" недочетов разные

Сообщение отредактировал lazutov - 08.06.2009, 17:09

[eSupport.org.ua]

Security by obscurity
Понадеялись на Zend

[admst]

Да ладно? Если человек не ламососка называющая себя "программистом", то дырок не будет. (IMG:style_emoticons/default/dry.gif)

Всё, что создано человеком можно взломать. Следовательно идеальной защиты не существует.

[lazutov]

http://forum.lxlabs.com/index.php?t=msg&goto=67529&

the owner of lxlabs commited suicide
On Monday morning, software company owner K T Ligesh, 32, was found hanging in his house.

[A. Mansurov]

Мотивы поступка интересны.
Вечная память.

Сообщение отредактировал aLiGaR - 09.06.2009, 19:44

[Aleksey A Potaneyko]

Мать и сестра - пять лет назал повесились тоже.

[A-l-e-X]

наверно человека просто достали (IMG:style_emoticons/default/sad.gif)

Сочувствую родственникам. Вечная память!

[udofun]

тоже но по русски

Глава индийской IT-компании Lxlabs, КТ Лигеш (K T Ligesh) найден повесившимся в своем доме в Бангалоре, пишет The Register. Он покончил с собой вскоре после того как хакеры взломали британского хостинг-провайдера Vaserv.com и стерли 100 тысяч сайтов. Взломщики использовали уязвимость в приложении HyperVM, разработанной Lxlabs.
Газета The Times of India пишет, что причиной самоубийства также могла стать недавняя потеря контракта с другой компанией. Кроме того, он тяжело переживал смерть матери и сестры. Те повесились пять лет назад.

http://lenta.ru/news/2009/06/10/lxlabs/

Делаем бекапы сер, бекапы (IMG:style_emoticons/default/smile.gif)

[lazutov]

фото
История выходит в прессу.

[SergeyFE]

Разрешите поднять старую тему... Как сейчас с уязвимостями в Kloxo и HyperVM? Можно ли установливать их безбоязненно?

[HostingHutor.com]

Разрешите поднять старую тему... Как сейчас с уязвимостями в Kloxo и HyperVM? Можно ли установливать их безбоязненно?

Совсем безбоязненно не получится - нужно самому разбираться в потрохах и заниматься аудитом.

[eSupport.org.ua]

Разрешите поднять старую тему... Как сейчас с уязвимостями в Kloxo и HyperVM? Можно ли установливать их безбоязненно?

Нет, нельзя

[gylys]

Нет, нельзя

Ровно так же можно сказать про:

1. Windows - все версии
2. Linux - все дистрибутивы
3. FreeBSD - все версии
4. Любой серверной софт для всех платформ.

n+k ..... Придумайте сами, так как идеального и бездырявого софта пока ни кто не создал.

Штопают дырки они достаточно оперативно. Только Kloxo слишком многое разрешает настраивать прямо с веб панели, по этому и возникают основные проблемы.
Для обычного вебмастера это совсем нормальная панель. Для сисадмина гемарой, так как клиент владеющий 'admin' доступупом может в любое время наломать дров.....