https://opennet.ru/openforum/vsluhforumID3/20815.html Во всех версиях PHP, включая 5.1.4 и 4.4.3 обнаружена (http://secunia.com/advisories/21403/) уязвимость, позволяющая злоумышленнику используя некорректное значение аргумента функции sscanf() выполнить свой код вне <br>ограничений накладываемых Safe Mode.<br><br><br>Патч для устранения проблемы можно загрузить здесь (http://tony2001.phpclub.net/dev/tmp/bug38322.diff).<br><br>URL: http://secunia.com/advisories/21403/<br>Новость: http://www.opennet.ru/opennews/art.shtml?num=8046<br> https://opennet.ru/openforum/vsluhforumID3/20815.html#39 Fri, 11 Aug 2006 09:47:33 GMT &gt;:) опятьже в случае хостинга это остается объяснить юзерам <br><br>Мы же про jail говорим? Тогда зачем объяснять пользователям? Безопасность данных пользователя в jail - это по большей части результат чесания своей тыковки самим пользователем (правило не работает только при отсутствии chroot'ed-окружения). Своевременный патч тут реже помогает, чем изначально грамотно поставленный content-generation софт.<br><br>&gt;И я более чем уверен, что найдется более одного jail в котором <br>&gt;отсутсвует одно из вами приведенных предположений - дырка наружу 25/tcp, smtp <br>&gt;auth<br><br>Эм... Мы говорим о том, что пользователь хостинга уже имеет право на правку общесистемного sendmail.cf? Или я где-то недопонял? Я вообще-то говорил о том, что ставите у себя на хостинге на общем ДЛЯ ВСЕХ MTA политику Smtp-auth и всё.<br><br>Геморроиться с каждым отдельным хостом спамеры не будут - их излюбленный конёк это Open relay любых ОС и непатченные и нефильтруемые винды. https://opennet.ru/openforum/vsluhforumID3/20815.html#38 Fri, 11 Aug 2006 09:44:25 GMT &gt;Давно ps отменили?<br><br>КАК? выновости не чЕтаете??<br>давно!<br><br><br>ну а вааще шутка именно в том, что рутовый апач в принципе достаточно безразличен к судьбе потомков. Посему, фиг ему что-либо кто их этих 'www'-шных сделает https://opennet.ru/openforum/vsluhforumID3/20815.html#37 Fri, 11 Aug 2006 09:40:47 GMT &gt; с этого места поподробнее, плз (я надеюсь, я говорю с человеком читавшЫм исходники апача?)<br><br>Давно ps отменили?<br><br># ps auxw &#124; grep httpd<br>root 52910 0,0 0,5 8244 4820 ?? Ss чт13 0:02,35 /usr/local/sbin/httpd<br>www 52916 0,0 0,5 8612 5280 ?? S чт13 0:00,06 /usr/local/sbin/httpd<br>www 52917 0,0 0,5 9008 5656 ?? S чт13 0:00,05 /usr/local/sbin/httpd<br>www 52918 0,0 0,5 8664 5336 ?? S чт13 0:00,04 /usr/local/sbin/httpd<br>...<br><br>Или я что-то опять не так делаю? ()с https://opennet.ru/openforum/vsluhforumID3/20815.html#36 Fri, 11 Aug 2006 09:15:49 GMT &gt;&gt;По шелл-скриптам вообще идеальное решение, раз уж об них пошла речь: <br>&gt;&gt;# chown root:wheel myscript.sh <br>&gt;&gt;# chmod 751 myscript.sh <br>&gt;&gt;После такого трюка даже не знаю, как Вы оттуда прописанные явным образом <br>&gt;&gt;пароли будете тырить... <br>&gt;<br>&gt;:) опятьже в случае хостинга это остается объяснить юзерам <br><br>да....<br>чем что-либо объяснить юзерям - проще просто самому поверить, что все достаточно секурно.... https://opennet.ru/openforum/vsluhforumID3/20815.html#35 Fri, 11 Aug 2006 09:11:44 GMT &gt;&gt; Хорошо, далее. шелл скриптам вы тоже будете авторизацию навязывать? И более того если у вас какой хвостинг, рассказать что кодерам надо использовать smtpauth будет нелегкой задачей, да и допустим ivision bb не умеет ее.<br>&gt;<br>&gt;По шелл-скриптам вообще идеальное решение, раз уж об них пошла речь: <br>&gt;# chown root:wheel myscript.sh <br>&gt;# chmod 751 myscript.sh <br>&gt;После такого трюка даже не знаю, как Вы оттуда прописанные явным образом <br>&gt;пароли будете тырить... <br><br>:) опятьже в случае хостинга это остается объяснить юзерам <br><br>&gt;По IPB: или мне изменяет память, или они умели SMTP-Auth еще в <br>&gt;2.0.х, если не умеют - php это позволяет, чуть-чуть перепишите соответствующий <br>&gt;класс, спрячьте в недрах кода пасс... Это не так сложно (я <br>&gt;ведь правильно полагаю, что беседую с человеком, хотя бы читавшим phpdoc?). <br>&gt;<br><br>не читал, но не сомневаюсь что средствами php это сделать можно.<br><br>&gt;&gt;+кто мешает погасить атакующему апач, залить прокси слушающий на 80м порту и слать через него?<br>&gt;<br>&gt;Действительно, сегодня (*nix&#12 https://opennet.ru/openforum/vsluhforumID3/20815.html#34 Fri, 11 Aug 2006 09:09:41 GMT &gt;&gt;+кто мешает погасить атакующему апач, залить прокси слушающий на 80м порту и слать через него?<br>&gt;<br>&gt;Действительно, сегодня (*nix&#124;linux) достигли апогея приближенности к винде и ничто уже не <br>&gt;мешает процессу, запущенному от имени www погасить корневой httpd, как правило <br>&gt;имеющий EUID=0.<br><br>ессьно :)<br>рутовый апач падает по первому требованию nobody :)) https://opennet.ru/openforum/vsluhforumID3/20815.html#33 Fri, 11 Aug 2006 09:08:08 GMT &gt;&gt;+кто мешает погасить атакующему апач, залить прокси слушающий на 80м порту и слать через него?<br>&gt;<br>&gt;Действительно, сегодня (*nix&#124;linux) достигли апогея приближенности к винде и ничто уже не <br>&gt;мешает процессу, запущенному от имени www погасить корневой httpd, как правило <br>&gt;имеющий EUID=0. <br><br>с этого места поподробнее, плз (я надеюсь, я говорю с человеком читавшЫм исходники апача?) https://opennet.ru/openforum/vsluhforumID3/20815.html#32 Fri, 11 Aug 2006 09:05:32 GMT &gt; Хорошо, далее. шелл скриптам вы тоже будете авторизацию навязывать? И более того если у вас какой хвостинг, рассказать что кодерам надо использовать smtpauth будет нелегкой задачей, да и допустим ivision bb не умеет ее.<br><br>По шелл-скриптам вообще идеальное решение, раз уж об них пошла речь:<br># chown root:wheel myscript.sh<br># chmod 751 myscript.sh<br>После такого трюка даже не знаю, как Вы оттуда прописанные явным образом пароли будете тырить...<br><br>По IPB: или мне изменяет память, или они умели SMTP-Auth еще в 2.0.х, если не умеют - php это позволяет, чуть-чуть перепишите соответствующий класс, спрячьте в недрах кода пасс... Это не так сложно (я ведь правильно полагаю, что беседую с человеком, хотя бы читавшим phpdoc?).<br><br>&gt;+кто мешает погасить атакующему апач, залить прокси слушающий на 80м порту и слать через него?<br><br>Действительно, сегодня (*nix&#124;linux) достигли апогея приближенности к винде и ничто уже не мешает процессу, запущенному от имени www погасить корневой httpd, как правило имеющий EUID=0. https://opennet.ru/openforum/vsluhforumID3/20815.html#31 Fri, 11 Aug 2006 09:04:56 GMT &gt;Хорошо, далее. шелл скриптам вы тоже будете авторизацию навязывать? И более того <br>&gt;если у вас какой хвостинг, рассказать что кодерам надо использовать smtpauth <br>&gt;будет нелегкой задачей, да и допустим ivision bb не умеет ее. <br>&gt;<br>&gt;+кто мешает погасить атакующему апач, залить прокси слушающий на 80м порту и <br>&gt;слать через него? <br><br>фаерволл, рубящий все исходящие на 25 порт, кроме коннектов от MTA (юзера типа mail, exim...)