форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Подробности об улучшениях безопасности инфраструктуры Savannah"	+/–
Сообщение от opennews (??) on 10-Дек-10, 18:52
Разработчики хостинга свободных проектов Savannah.gnu.org (http://savannah.gnu.org/), недавно подвергшегося (http://www.opennet.ru/opennews/art.shtml?num=28836) взлому, обобщили (http://www.mail-archive.com/savannah-hackers-public@gnu...) внесенные в настройки web-сервера изменения, направленные на повышение безопасности системы (а также сайтов gnu.org и nongnu.org): -  С сервера удален mod_php; -  Запрещена обработка страниц по символическим ссылкам; -  Отключена поддержка SSI (Server Side Includes), за исключением основного сайта; -  Запрещен запуск CGI-скриптов из SSI-вставок; -  Доступ к mod_python ограничен только внутреннему скрипту new-savannah-project; -  Для всех GNU-проектов в настройках Apache указано: <font color="#461b7e">   Options Indexes MultiViews Limit   AllowOverride Indexes FileInfo Limit </font> -  Для всех не GNU-проектов в настройках Apache указано (отключен режим  FileInfo, при котором в .htaccess допускалось использование сл... URL: http://www.mail-archive.com/savannah-hackers-public@gnu... Новость: http://www.opennet.ru/opennews/art.shtml?num=28956
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Подробности об улучшениях безопасности инфраструктуры Savann..."	–8 +/–
Сообщение от Аноним (??) on 10-Дек-10, 18:52
Лучше бы закрылы его. Во-первых, ничего ценого там не хостится, во-вторых, он гнушный, тормозной и дырявый.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Подробности об улучшениях безопасности инфраструктуры Savann..."	+1 +/–
Сообщение от solardiz (ok) on 10-Дек-10, 19:58
Вообще-то, было внесено гораздо больше изменений, даже я принял в этом небольшое участие (помог прикрутить passwdqc): http://savannah.gnu.org/maintenance/Compromise2010 http://git.savannah.gnu.org/cgit/savane-cleanup.git/ Конечно, много проблем (неоправданных рисков) еще остается...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	4. "Подробности об улучшениях безопасности инфраструктуры Savann..."	+/–
	Сообщение от solardiz (ok) on 10-Дек-10, 21:42
	Вот еще подробности по паролям: http://www.openwall.com/lists/announce/2010/12/10/2
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	5. "Подробности об улучшениях безопасности инфраструктуры Savann..."	+/–
	Сообщение от гы on 10-Дек-10, 22:12
	интересно а как они узнали что была SQL инъекция? т.е. стоял mod_security всё-таки и логи не потерли???
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	7. "Подробности об улучшениях безопасности инфраструктуры Savann..."	+/–
	Сообщение от solardiz (ok) on 11-Дек-10, 14:16
	> интересно а как они узнали что была SQL инъекция? Анализировали логи. (Я сам логов не видел.) > т.е. стоял mod_security всё-таки Нет. > и логи не потерли??? Да. Не потерли.
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

3. "Подробности об улучшениях безопасности инфраструктуры Savann..."	+/–
Сообщение от б.б. on 10-Дек-10, 20:02
Надеюсь, серьёзный аудит коснулся ВСЕХ проектов GNU, а не только того, который самый дырявый оказался?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Подробности об улучшениях безопасности инфраструктуры Savann..."	+/–
Сообщение от Аноним (??) on 11-Дек-10, 05:43
>С сервера удален mod_php; Бурные аплодисменты в зале! :)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема