От Dmitry Leonov (2:5020/400) к All
В ответ на Заголовок предыдущего сообщения в треде (Имя Автора)
From: Dmitry Leonov <dl@bugtraq.ru>
Приветствую!
Russian Security Newsline 24.09.2009
Массовая утечка исходников интернет-проектов через SVN
dl // 23.09.09 17:41
SVN - одна из популярнейших систем контроля версий, широко используемая в
том числе и при веб-программировании. Типовым и рекомендуемым вариантом
использования SVN в последнем случае является периодический экспорт кода
на боевой сервер, однако зачастую у разработчиков возникает соблазн
исключить из рабочего цикла процедуру экспорта и разместить рабочую копию
непосредственно на основном сервере.
Обратной стороной этого упрощения является то, что рабочие копии таких
проектов содержат служебные каталоги .svn с рядом подкаталогов, из которых
особый интерес представляет подкаталог text-base, хранящий последние
версии всех файлов, полученных из репозитория. Причем файлы эти имеют
расширение svn-base и прекрасно отдаются веб-сервером без дополнительной
обработки (т.е. любой человек может спокойно посмотреть ваш код на
php/asp/perl/..., подсмотреть в нем пароли доступа к базам и внешним
сервисам и т.п.). Кроме того, из лежащего по соседству файла entries можно
получить массу другой любопытной информации - расположение репозитория,
логины пользователей и т.п.
В принципе, и это не фатально - соответствующие каталоги элементарно
закрываются от публичного доступа простой настройкой веб-сервера, но, как
выяснилось, по крайней мере 3320 популярных сайтов рунета, включая
крупнейшие, не озаботились этой элементарной защитой.
Источник: http://habrahabr.ru/blogs/infosecurity/70330/
-----------------------------
Критическая уязвимость в ядре FreeBSD
dl // 16.09.09 14:48
Уязвимость в интерфейсе уведомлений kqueue может привести к разыменованию
нулевого указателя в ядре и как следствие к повышению привилегий
произвольного пользовательского процесса (по той же схеме, что и с
августовской линуксовой дыркой
[ http://bugtraq.ru/rsn/archive/2009/08/04.html ]
). Затрагивает все версии с 6.0 по 6.4, версии начиная с 7.1
предположительно чисты, хотя есть сообщения и об успешном запуске
эксплоита на 7.2.
Источник: http://www.theregister.co.uk/2009/09/14/freebsd_security_bug/
-----------------------------
Также в выпуске:
Критическая уязвимость в nginx
(http://bugtraq.ru/rsn/archive/2009/09/05.html) // 15.09.09 11:05
Еще один первый линуксовый ботнет
(http://bugtraq.ru/rsn/archive/2009/09/04.html) // 12.09.09 23:34
Уязвимость в SMBv2 предположительно была добавлена в процессе исправления другой уязвимости
(http://bugtraq.ru/rsn/archive/2009/09/03.html) // 11.09.09 21:35
Другие обновления на сайте:
BugTraq - обозрение #280
[ http://bugtraq.ru/review/archive/2009/15-09-09.html ]
// 15.09.09 11:05
- Критическая уязвимость в nginx;- Еще один первый линуксовый ботнет;- Уязвимость в SMBv2 предположительно была добавлена в процессе исправления другой уязвимости;- Атака на Apache;- Переходу на третий FireFox мешает боязнь засветить свои порноколлекции;
Третья пятерка из рейтинга статей:
[ http://bugtraq.ru/library/rating/ ]
Проверка целостности установленной linux-системы перед использованием [9.15]
[ http://www.bugtraq.ru/library/security/integrity.html ]
21.08.03 19:47
Планета CC. Золотое время Carderplanet. [9.13]
[ http://bugtraq.ru/library/underground/planetacc.html ]
05.09.06 01:37
Space dot com [9.09]
[ http://bugtraq.ru/library/fiction/spacedotcom.html ]
16.04.06 05:26
Don▓t feed forum trolls. Форумные тролли √ паразиты Сети. [9.06]
[ http://bugtraq.ru/library/underground/trolls.html ]
28.03.07 00:34
Сетевой роман [9]
[ http://bugtraq.ru/library/fiction/netroman.html ]
07.11.06 00:12
Ведущий рассылки:
Дмитрий Леонов, http://bugtraq.ru
--- ifmail v.2.15dev5.4
* Origin: Demos online service (2:5020/400)
Ответы на это письмо:
From: Username
Заголовок следующего сообщения в треде может быть длинным и его придется перенести на новую строку
From: Username
Или коротким