lazutov
08.06.2009, 08:47
Уязвимости найдете через google по слову kloxo .
Публиковать ссылки я не могу.
Изучите, пожалуйста данные уязвимости (более 20) и сделайте все, чтобы клиенты не были без вины виноватые.
Спасибо.
PS Hypervm подозревается на похожие дырки. Совет тут общий, либо ее выключать, либо читать логи
eSupport.org.ua
08.06.2009, 10:40
Гм. Иногда такие совпадения я называю подарками судьбы.
Только пару дней назад как я сдал полностю с себя полномочия проекта именно на этой системе.
А по уязвимостям - скрипт то написан на php и зазенден. Так что не удивительно, что его раззендели и нашли дырки.
lazutov
08.06.2009, 12:11
На каждый зенд есть антизенд.
На ионкуб тоже, но частичный.
Но: закрытый код не дает права не фильтровать вход. Это вообще даже самому начинающему бы в голову пришло закрыть.
Его что, писали на коленке?
eSupport.org.ua
08.06.2009, 13:19
Не на коленке, но как и любой код, написанный человеком - он несет в себе дырки
lazutov
08.06.2009, 14:54
Некоторые из уязвимостей смешны до безобразия.
Кстати, очень показательные дырки.
support_host
08.06.2009, 14:57
Цитата(eSupport.org.ua @ 08.06.2009, 14:19)
Не на коленке, но как и любой код, написанный человеком - он несет в себе дырки
Да ладно? Если человек не ламососка называющая себя "программистом", то дырок не будет.
eSupport.org.ua
08.06.2009, 15:39
Напишите аналог Lxadmin и там тоже будут дыры
Цитата(support_host @ 08.06.2009, 15:57)
Да ладно? Если человек не ламососка называющая себя "программистом", то дырок не будет.
Не бывает здоровых пациентов, бывают недообследованные
different
08.06.2009, 15:58
Цитата(support_host @ 08.06.2009, 17:57)
Да ладно? Если человек не ламососка называющая себя "программистом", то дырок не будет.
Т.е. программистов не существует, т.к. ни одной на 100% безглючной программы уровнем повыше калькулятора еще не написано?
А Linux, Solaris ,Oracle, Cisco IOS - писали "ламососки", ведь дыры там тоже находят, хотя и редко?
support_host
08.06.2009, 16:20
Опять вы сравниваете впринципе не сравнимые вещи.
Не хочу начинать опять рассказывать вам анекдот "ПАПА ГДЕ МОРЕ", вы все равно его не поймете, за сим удаляюсь.
lazutov
08.06.2009, 16:59
В LxLabs видимо и "писали в 2 строчки".
Ну как можно не знать, что если создаем домен, субдомен итд и на месте папки символьная ссылка, то ее надо rm -f
# у этой дырки из IspCpOmega корни, как мне кажется, могу ошибаться
Как можно не фильтровать на странице входа?
Как можно не фильтровать данные из _GET?
Как можно вообще не зная никсов писать под ниx?
different: в данном случае ВЫ не правы.
Есть дырки разного уровня. Есть недочеты в шариковых ручках, а есть в космических шатлах.
Последствия и "уровни" недочетов разные
eSupport.org.ua
08.06.2009, 17:56
Security by obscurity
Понадеялись на Zend
Цитата(support_host @ 08.06.2009, 17:57)
Да ладно? Если человек не ламососка называющая себя "программистом", то дырок не будет.
Всё, что создано человеком можно взломать. Следовательно идеальной защиты не существует.
lazutov
09.06.2009, 18:41
http://forum.lxlabs.com/index.php?t=msg&goto=67529&Цитата
the owner of lxlabs commited suicide
On Monday morning, software company owner K T Ligesh, 32, was found hanging in his house.
A. Mansurov
09.06.2009, 19:44
Мотивы поступка интересны.
Вечная память.
Aleksey A Potaneyko
10.06.2009, 01:45
Мать и сестра - пять лет назал повесились тоже.
A-l-e-X
10.06.2009, 13:42
наверно человека просто достали
Сочувствую родственникам. Вечная память!
тоже но по русски
Цитата
Глава индийской IT-компании Lxlabs, КТ Лигеш (K T Ligesh) найден повесившимся в своем доме в Бангалоре, пишет The Register. Он покончил с собой вскоре после того как хакеры взломали британского хостинг-провайдера Vaserv.com и стерли 100 тысяч сайтов. Взломщики использовали уязвимость в приложении HyperVM, разработанной Lxlabs.
Газета The Times of India пишет, что причиной самоубийства также могла стать недавняя потеря контракта с другой компанией. Кроме того, он тяжело переживал смерть матери и сестры. Те повесились пять лет назад.
http://lenta.ru/news/2009/06/10/lxlabs/Делаем бекапы сер, бекапы
lazutov
16.06.2009, 15:44
фотоИстория выходит в прессу.
SergeyFE
30.01.2011, 11:44
Разрешите поднять старую тему... Как сейчас с уязвимостями в Kloxo и HyperVM? Можно ли установливать их безбоязненно?
HostingHutor.com
03.03.2011, 22:44
Цитата(SergeyFE @ 30.01.2011, 12:44)
Разрешите поднять старую тему... Как сейчас с уязвимостями в Kloxo и HyperVM? Можно ли установливать их безбоязненно?
Совсем безбоязненно не получится - нужно самому разбираться в потрохах и заниматься аудитом.
eSupport.org.ua
04.03.2011, 07:54
Цитата(SergeyFE @ 30.01.2011, 12:44)
Разрешите поднять старую тему... Как сейчас с уязвимостями в Kloxo и HyperVM? Можно ли установливать их безбоязненно?
Нет, нельзя
Цитата(eSupport.org.ua @ 04.03.2011, 07:54)
Нет, нельзя
Ровно так же можно сказать про:
1. Windows - все версии
2. Linux - все дистрибутивы
3. FreeBSD - все версии
4. Любой серверной софт для всех платформ.
n+k ..... Придумайте сами, так как идеального и бездырявого софта пока ни кто не создал.
Штопают дырки они достаточно оперативно. Только Kloxo слишком многое разрешает настраивать прямо с веб панели, по этому и возникают основные проблемы.
Для обычного вебмастера это совсем нормальная панель. Для сисадмина гемарой, так как клиент владеющий 'admin' доступупом может в любое время наломать дров.....
Это текстовая версия — только основной контент. Для просмотра полной версии этой страницы, пожалуйста,
нажмите сюда.