Вариант для распечатки |
Пред. тема | След. тема | ||
Форум Разговоры, обсуждение новостей | |||
---|---|---|---|
Изначальное сообщение | [ Отслеживать ] |
"Уязвимость в EPP-серверах позволяла получить контроль над 19 доменами первого уровня" | +/– | |
Сообщение от opennews (ok), 13-Июн-23, 16:04 | ||
Исследователи безопасности из группы Hackcompute опубликовали результат своих экспериментов по изучению защищённости регистраторов доменных имён, атака на которых может привести, например, к изменению DNS-серверов для перенаправления запросов на хост злоумышленника. В результате исследования в одной из реализаций XML-протокола... | ||
Ответить | Правка | Cообщить модератору |
Оглавление |
Сообщения | [Сортировка по времени | RSS] |
1. "Уязвимость в EPP-серверах позволяла получить контроль над 19..." | –1 +/– | |
Сообщение от ryoken (ok), 13-Июн-23, 16:04 | ||
>>файла /etc/passwd | ||
Ответить | Правка | Наверх | Cообщить модератору |
21. "Уязвимость в EPP-серверах позволяла получить контроль над 19..." | +/– | |
Сообщение от Аноним (21), 13-Июн-23, 18:09 | ||
ну, хочется надеяться что сервис работает не от рута, и к shadow у него прав не окажется.. | ||
Ответить | Правка | Наверх | Cообщить модератору |
38. "Уязвимость в EPP-серверах позволяла получить контроль над 19..." | +2 +/– | |
Сообщение от Атон (?), 13-Июн-23, 20:50 | ||
> ну, хочется надеяться что сервис работает не от рута, и | ||
Ответить | Правка | Наверх | Cообщить модератору |
42. "Уязвимость в EPP-серверах позволяла получить контроль над 19..." | +3 +/– | |
Сообщение от Аноним (42), 13-Июн-23, 21:45 | ||
Как вы яхту назовете... там даже название намекает что оно с каким-то... подвохом... | ||
Ответить | Правка | Наверх | Cообщить модератору |
2. "Уязвимость в EPP-серверах позволяла получить контроль над 19..." | +9 +/– | |
Сообщение от Аноним (2), 13-Июн-23, 16:07 | ||
>отсутствия проверок наличия символов "/.." при формировании имени файла | ||
Ответить | Правка | Наверх | Cообщить модератору |
36. "Уязвимость в EPP-серверах позволяла получить контроль над 19..." | +/– | |
Сообщение от Tron is Whistling (?), 13-Июн-23, 20:30 | ||
Блин, передавать пути из URL в открытие файла - это да, школьного уровня безобразие. | ||
Ответить | Правка | Наверх | Cообщить модератору |
41. "Уязвимость в EPP-серверах позволяла получить контроль над 19..." | +2 +/– | |
Сообщение от Аноним (42), 13-Июн-23, 21:40 | ||
Да и додуматься в XML это все оформить... можно подумать хоть 1 кодер на планете помнит ВСЕ фичи XML реализуемые половиной либ, которые помогут пятку прострелить поизящнее на каком-то нежданчике. | ||
Ответить | Правка | Наверх | Cообщить модератору |
48. "Уязвимость в EPP-серверах позволяла получить контроль над 19..." | +1 +/– | |
Сообщение от 1 (??), 14-Июн-23, 09:14 | ||
Новость не читай, мысль довоображай ! | ||
Ответить | Правка | Наверх | Cообщить модератору |
58. "Уязвимость в EPP-серверах позволяла получить контроль над 19..." | +/– | |
Сообщение от Аноним (-), 16-Июн-23, 01:14 | ||
Ну а какой процент кодеров вообще задумается что конструкция вида<!DOCTYPE foo [ <!ENTITY xxe SYSTEM "file:///etc/passwd"> ]>оказывается подставляет сервер? | ||
Ответить | Правка | Наверх | Cообщить модератору |
5. "Уязвимость в EPP-серверах позволяла получить контроль над 19..." | +2 +/– | |
Сообщение от Аноним (5), 13-Июн-23, 16:40 | ||
Ох уж эти энтерпрайзные интеграции со своими не имеющими аналогов протоколами... | ||
Ответить | Правка | Наверх | Cообщить модератору |
7. "Уязвимость в EPP-серверах позволяла получить контроль над 19..." | +1 +/– | |
Сообщение от Аноним (7), 13-Июн-23, 16:49 | ||
Можно подумать там сверхразумы сидят. | ||
Ответить | Правка | Наверх | Cообщить модератору |
24. "Уязвимость в EPP-серверах позволяла получить контроль над 19..." | –2 +/– | |
Сообщение от Аноним (24), 13-Июн-23, 18:53 | ||
Ошибки есть везде, но вот тестировать и проверять это нужно, | ||
Ответить | Правка | Наверх | Cообщить модератору |
29. "Уязвимость в EPP-серверах позволяла получить контроль над 19..." | +9 +/– | |
Сообщение от Аноним (42), 13-Июн-23, 19:41 | ||
Протестировать все фичи XML - нормальный такой scope, вам на следующие три жизни работы хватит. | ||
Ответить | Правка | Наверх | Cообщить модератору |
13. "Уязвимость в EPP-серверах позволяла получить контроль над 19..." | +/– | |
Сообщение от Аноним (13), 13-Июн-23, 17:25 | ||
> содержимое закрытого SSH-ключа администратора сервера | ||
Ответить | Правка | Наверх | Cообщить модератору |
15. "Уязвимость в EPP-серверах позволяла получить контроль над 19..." | –1 +/– | |
Сообщение от Аноним (15), 13-Июн-23, 17:43 | ||
Так работает энтерпрайз. Главным считается вторичное для ИТ и основное оказывается вне внимания. Автоматизация, сесурити и т.д. оказываются вторичны. | ||
Ответить | Правка | Наверх | Cообщить модератору |
17. "Уязвимость в EPP-серверах позволяла получить контроль над 19..." | +1 +/– | |
Сообщение от Аноним (7), 13-Июн-23, 17:54 | ||
Менеджеры говорят что это интересы бизнеса. И типа айтишники не умеют разговаривать с бизнесом. Вот и получают все сразу. Это же какое-то продолжительное время работало, значит можно не напрягаться. Преждевременная оптимизация это лишние траты. | ||
Ответить | Правка | Наверх | Cообщить модератору |
20. "Уязвимость в EPP-серверах позволяла получить контроль над 19..." | +4 +/– | |
Сообщение от Аноним (20), 13-Июн-23, 18:09 | ||
> И типа айтишники не умеют разговаривать с бизнесом. | ||
Ответить | Правка | Наверх | Cообщить модератору |
27. "Уязвимость в EPP-серверах позволяла получить контроль над 19..." | +2 +/– | |
Сообщение от Аноним (27), 13-Июн-23, 19:13 | ||
> типа айтишники не умеют разговаривать с бизнесом. | ||
Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору |
45. "Уязвимость в EPP-серверах позволяла получить контроль над 19..." | +/– | |
Сообщение от nuclight (ok), 14-Июн-23, 01:25 | ||
Добро пожаловать в капитализм. | ||
Ответить | Правка | Наверх | Cообщить модератору |
49. "Уязвимость в EPP-серверах позволяла получить контроль над 19..." | –1 +/– | |
Сообщение от Аноним (7), 14-Июн-23, 09:33 | ||
Всего лишь договариваться со всеми. Это же так просто. В каком-то идеальном мире где розовые пони скачут по радуге, да там такое бывает. | ||
Ответить | Правка | К родителю #27 | Наверх | Cообщить модератору |
39. "Уязвимость в EPP-серверах позволяла получить контроль над 19..." | +/– | |
Сообщение от Атон (?), 13-Июн-23, 20:51 | ||
> Так работает энтерпрайз. | ||
Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору |
16. "Уязвимость в EPP-серверах позволяла получить контроль над 19..." | +/– | |
Сообщение от Аноним (7), 13-Июн-23, 17:52 | ||
Администратор меняется каждый квартал. Если ключ не будет лежать там его 100% с концами про..теряют. По другому это не работает. | ||
Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору |
19. "Уязвимость в EPP-серверах позволяла получить контроль над 19..." | +/– | |
Сообщение от Аноним (42), 13-Июн-23, 18:03 | ||
Если кодеру можно использовать формат позволяющий инклюд посторонних файлов с сервака, то почему админу нельзя колючи раскидать где попало? Или вы думали что если квалификация кодеров дно, то админы с чего-то будут лучше? | ||
Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору |
22. "Уязвимость в EPP-серверах позволяла получить контроль над 19..." | +/– | |
Сообщение от Аноним (21), 13-Июн-23, 18:41 | ||
Ну как вариант, у меня, например, много где лежат закрытые ключи... фигня в том что они тут и сгенерены просто чтоб место не пропадало... и они никак не используются, открытых к ним ключей никуда не положено, можете заняться попытками с ними куда либо зайти.. (если к вам пришёл коммивояжёр, займите его увлекательной беседой, спасите 5 человек..) | ||
Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору |
23. "Уязвимость в EPP-серверах позволяла получить контроль над 19..." | –1 +/– | |
Сообщение от Аноним (21), 13-Июн-23, 18:50 | ||
ps, тут больше интересно другое, этот файл не должен читаться никем, кроме самого пользователя (ну и рута)... всё запущено от рута ? Ну чо, маладцы!. | ||
Ответить | Правка | Наверх | Cообщить модератору |
31. "Уязвимость в EPP-серверах позволяла получить контроль над 19..." | –1 +/– | |
Сообщение от Анонус (?), 13-Июн-23, 19:44 | ||
А разве закрытая часть ключа настолько отвественного сервиса (это не бложек скучающей домохозяйки, а РЕГИСТРАТОР целой зоны) не должна как минимум лежать на внешнем аппаратном токене? Теоретически сломать могут и их, но это на порядки сложнее, чем несколько слешей подсатвить в запрос. | ||
Ответить | Правка | Наверх | Cообщить модератору |
25. "Уязвимость в EPP-серверах позволяла получить контроль над 19..." | +/– | |
Сообщение от Аноним (25), 13-Июн-23, 19:06 | ||
>Используя уязвимость исследователям удалось получить содержимое | ||
Ответить | Правка | Наверх | Cообщить модератору |
32. "Уязвимость в EPP-серверах позволяла получить контроль над 19..." | +/– | |
Сообщение от Аноним (42), 13-Июн-23, 19:45 | ||
Я бы скорее настаивал на "criminal negligence" - для тех кто XML допер как формат поюзать, не зная про такие вещи. Это было бы намного правильнее. И взыскать с вот именно кодивших ЭТО весь ущерб еще. Чтобы в следующий раз трезвее оценивали силенки проаудитить универсальный формат на все оказии, например. | ||
Ответить | Правка | Наверх | Cообщить модератору |
44. "Уязвимость в EPP-серверах позволяла получить контроль над 19..." | +/– | |
Сообщение от Аноним (44), 13-Июн-23, 23:21 | ||
Тем командам (есть такие, специализирующиеся на прошивках для ECU, контроллерах в самолётах, атомных станциях, и прочих, вот те ребята), кто на себя берут юридическую ответственность за отсутствие в коде багов, способных привести к опасным последствиям, а также делают кучу других вещей, которые обычные программисты не делают, таких, как формальная верификация (и даже формальная верификация hello world - это очень громоздкий процесс, а теперь представь прошивку...), за это платят на порядки больше. Даже в "критической инфраструктуре" использовать труд этих ребят не по карману. | ||
Ответить | Правка | Наверх | Cообщить модератору |
57. "Уязвимость в EPP-серверах позволяла получить контроль над 19..." | +/– | |
Сообщение от Аноним (57), 16-Июн-23, 01:09 | ||
Ну уж нет, знаете, если из-за чьих-то глупых факапов нагибаются целые страны, по-моему as is там уже не катит и с этих кондомов надо как минимум взыскать весь ущерб до последнего цента. Чтоб остальные так делать боялись и более трезво оценивали свои скиллы и выбор технологий. | ||
Ответить | Правка | Наверх | Cообщить модератору |
59. "Уязвимость в EPP-серверах позволяла получить контроль над 19..." | +/– | |
Сообщение от Аноним (59), 16-Июн-23, 19:23 | ||
Не нравится - не регай домены в этих зонах. | ||
Ответить | Правка | Наверх | Cообщить модератору |
60. "Уязвимость в EPP-серверах позволяла получить контроль над 19..." | +/– | |
Сообщение от anonymous (??), 17-Июн-23, 11:07 | ||
Вот тут боингу смешно стало. | ||
Ответить | Правка | К родителю #44 | Наверх | Cообщить модератору |
46. "Уязвимость в EPP-серверах позволяла получить контроль над 19..." | +/– | |
Сообщение от nuclight (ok), 14-Июн-23, 01:28 | ||
Русскому языку разучились? "Преступная халатность" это называется. | ||
Ответить | Правка | К родителю #32 | Наверх | Cообщить модератору |
56. "Уязвимость в EPP-серверах позволяла получить контроль над 19..." | +/– | |
Сообщение от Аноним (-), 16-Июн-23, 01:03 | ||
Это разве россияне повесили баг? Если б вопрос в том чтобы статью россиянину шить - тогда конечно. А так пусть в тех терминах и описывается, глядишь примелькается какому-нибудь gov'у в поисковике и идея найдет почитателей. Задолбали уже так кодить. | ||
Ответить | Правка | Наверх | Cообщить модератору |
26. "Уязвимость в EPP-серверах позволяла получить контроль над 19..." | –5 +/– | |
Сообщение от cheburnator9000 (ok), 13-Июн-23, 19:09 | ||
Дайте угадать. Си? | ||
Ответить | Правка | Наверх | Cообщить модератору |
28. "Уязвимость в EPP-серверах позволяла получить контроль над 19..." | +1 +/– | |
Сообщение от Хру (?), 13-Июн-23, 19:37 | ||
Не угадал. Язык тут не при чем. "При чем" тут не выключенная функциональность ХаМЛо-разборщиков, как рекомендует OWASP. Этот функционал в библиотеке либо есть, либо нет, и зависит от архитектора а не от языка | ||
Ответить | Правка | Наверх | Cообщить модератору |
30. "Уязвимость в EPP-серверах позволяла получить контроль над 19..." | +/– | |
Сообщение от Аноним (42), 13-Июн-23, 19:43 | ||
Не угадал! Проабузили официальную фичу XML. О которой кодеры вон того разумеется ни в раз не подумали. А хакеры, оказывается, нехорошие какие, могут что угодно в XMLки вталкивать. Даже вот совершенно левый файл заинклюдить без спросу - опачки! | ||
Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору |
33. "Уязвимость в EPP-серверах позволяла получить контроль над 19..." | +1 +/– | |
Сообщение от YetAnotherOnanym (ok), 13-Июн-23, 20:09 | ||
Первая ошибка логическая, вторая в жабе. | ||
Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору |
47. "Уязвимость в EPP-серверах позволяла получить контроль над 19..." | +1 +/– | |
Сообщение от Дед банан (?), 14-Июн-23, 07:49 | ||
Ну, название софта начинается с этой буквы, угадал. | ||
Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору |
50. "Уязвимость в EPP-серверах позволяла получить контроль над 19..." | +/– | |
Сообщение от Аноним (7), 14-Июн-23, 09:35 | ||
Жаба. Напомню Жаба безопасно работает с памятью и там вообще нет никаких ансейфов даже при большом желании. | ||
Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору |
55. "Уязвимость в EPP-серверах позволяла получить контроль над 19..." | +/– | |
Сообщение от Аноним (55), 15-Июн-23, 17:38 | ||
Как это защитит от эксплойта с подстановкой имени файла? | ||
Ответить | Правка | Наверх | Cообщить модератору |
34. "Уязвимость в EPP-серверах позволяла получить контроль над 19..." | –1 +/– | |
Сообщение от Роман (??), 13-Июн-23, 20:21 | ||
Зачем оно интересно под рутом. Да и даже если под рутом, то какой-то ProtectHome уж могли бы вкорячить в юнит сервиса. Не sysv init же у них демонов погоняет, наверняка. | ||
Ответить | Правка | Наверх | Cообщить модератору |
51. "Уязвимость в EPP-серверах позволяла получить контроль над 19..." | +/– | |
Сообщение от Аноним (51), 14-Июн-23, 12:01 | ||
>Зачем оно интересно под рутом. | ||
Ответить | Правка | Наверх | Cообщить модератору |
52. "Уязвимость в EPP-серверах позволяла получить контроль над 19..." | +/– | |
Сообщение от Аноним (52), 14-Июн-23, 12:07 | ||
Надо зарегистрировать сайт в доменной зоне .bj | ||
Ответить | Правка | Наверх | Cообщить модератору |
53. "Уязвимость в EPP-серверах позволяла получить контроль над 19..." | +/– | |
Сообщение от Самый Лучший Гусь (?), 14-Июн-23, 12:50 | ||
beef jerky? | ||
Ответить | Правка | Наверх | Cообщить модератору |
54. "Уязвимость в EPP-серверах позволяла получить контроль над 19..." | +3 +/– | |
Сообщение от Liin (ok), 14-Июн-23, 14:32 | ||
Application-сервер от рута, полный доступ к файловой системе - казалось бы, что может пойти не так? ) | ||
Ответить | Правка | Наверх | Cообщить модератору |
61. "Уязвимость в EPP-серверах позволяла получить контроль над 19..." | +/– | |
Сообщение от pavlinux (ok), 28-Июн-23, 01:07 | ||
Новость о том, что на свете много админов-расПи3дяев. EPP тут не причём. | ||
Ответить | Правка | Наверх | Cообщить модератору |
Архив | Удалить |
Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема |
Закладки на сайте Проследить за страницей |
Created 1996-2024 by Maxim Chirkov Добавить, Поддержать, Вебмастеру |