Security Lab



Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти  
Форум » Обсуждение статей (закрыто) » Обсуждение публикаций
Страницы: Пред. 1 2 3 4 След.
RSS
События 2005 года в области информационной безопасности
 
#41
Это нравится:0Да/0Нет
29.12.2005 08:34:27
Цитата
2 Скучающий

первый два адвайза для IIS можно отбросить (IIS 4 и 5 уже не актуальны), так что получается 9 против 4, не в пользу апача. А если добавить уязвимости Apache mod_ssl совсем апач сливает.

2 Гость (28.12.2005 19:24:56)

Апач версий ниже 1.3.34 уже не актуален, отбросим их?

По поводу дыры в mod_ssl за 28.05.2004.  Почитайте ее описание внимательно:
http://secunia.com/product/72/?period=2004#statistics
http://www.securitylab.ru/notification/237984.php

А почему вы упустили, что IIS до сих пор можно задосить?
 
 
 
#42
Это нравится:0Да/0Нет
29.12.2005 09:56:23
Цитата
до сих пор можно задосить

Это IIS в ситуации когда не нем разрешено выполенение исполняемых файлов. По умолчанию в 6.0 - запрещено.

Соотвественно давайте не будем сравнивать два  разных по фичесету продукта?
Если уж сравнивать IIS то с апачем на котором есть скриптовый язык, поддержка WebDav, SSL, аутентификация Kerberos и по сертификатам и других дефалтовые фичи IIS. А не прогу раздающую текстовые файлы через 80й порт.
 
 
 
#43
Это нравится:0Да/0Нет
29.12.2005 10:29:32
Хоть я и не _фанат_ ФФ.
Но про уязвимости так и хочется сказануть чтонть.
"В доме №7 по Денежной улице было обнаружено и частично устранено ещё 17 недоделок оставленных строителями ОАО БГ  и партнёры. Напомним, что этот дом был сдан в эксплуатацию в 1995 году "
"В то же время в сданном в эксплуатацию Фондом Попадало в 2004 году доме №1/5 по Открытой улице обнаружено и частично устранено 22 недоделки"
"Вот так ОАО БГ "втоптала в грязь" Фонд Попадало. Им понадобилось всего 10 лет..."  
---
Вообще, у БГ через __10__ лет после релиза 17 багов.
У ФФ через __1__ год - 22.
Хоть по одной точке кривую и не построишь, но, тренд видно невооружённым глазом.
---
п.7 написан явно "фанатом ИЕ" - это я об излишней эмоциональности, о "суровой действительности" и "грязи"....  Ведь в п.12 ничего нету о "феноменальной устойчивости к вирусам продукции Моторола в пику решениям от Нокии" :-)
---
Ты, автор, уж извини, но я 9 лет ездил на Форде ИЕ, и как только появилась возможность пересел на Тойоту ФФ. Да, мой Форд к этому времени был вылизан уже лучше, у нового хозяина он ломался лишь 17 раз, но я ним так намучался, что НИ ЗА КАКИЕ бонусы на него не вернусь...
 
 
 
#44
Это нравится:0Да/0Нет
29.12.2005 11:12:22
Цитата
Скучающий пишет:
Apache 2.x
Его можно вообще не упоминать, поскольку они его до сих пор не вывели в стабильный и безглючный режим работы. Это общеизвестно, так что тот кто его использует, то только на свой страх и риск.
В принципи согласен. К стати уже есть официальный релиз версии 2.2.0 - посмотрим как он себя покажет.
Цитата
Скучающий пишет:
Если бы количество ошибок в программном обеспечении было бы связано только с распространенностью продукта, то в Apache было бы дыр на несколько десятков больше, учитывая, что код у него открытый.
Тут я согласен с Александром. Несомненно, есть зависимость между количеством найденных уязвимостей и популярностью продукта. В нашем случае IIS и Apache - одни из самых популярных Web серверов (http://news.netcraft.com/archives/web_server_survey.html). По этому практически отсутсвует отношение порулярности к количеству уязвимостей.
А открыт код или закрыт - это ИМХО особого значения не имеет. Тем более, что в последнее время наблюдается тенденция к увеличению количества однотипных уязвимостей в различных продуктах для различных платформ.
http://www.securitylab.ru/vulnerability/242964.php №1 и №2 - Уязвимость в Internet Explorer и Opera
http://www.securitylab.ru/vulnerability/242116.php
http://www.securitylab.ru/vulnerability/205857.php
http://www.securitylab.ru/vulnerability/205658.php
http://www.securitylab.ru/vulnerability/205885.php и http://www.securitylab.ru/vulnerability/205875.php - одна и та же уязвимость
 
 
 
#45
Это нравится:0Да/0Нет
29.12.2005 13:05:50
Тут еще ондан вещь про которую народ усиленно забывает при сравнении уязвимостей, а именно, апач может работать под кучей платформ, так что не все уязвимости будут работать во всех случаях даже при дефолтных настройках. В качестве примера приведу сборку от debian GNU/Linux (а есть еще Hurd и NetBSD, FreeBSD):
http://www.debian.org/security/2005/dsa-807
http://www.debian.org/security/2005/dsa-805
http://www.debian.org/security/2005/dsa-803
http://www.debian.org/security/2005/dsa-689
Причем 2 из них ошибки сервера и 2 ошибки модулей, и что то ни одна из них не является критической, да вот еще деталь, эти ошибки работают не под всеми платформами под которые есть сборки.

Цитата
Соотвественно давайте не будем сравнивать два разных по фичесету продукта?
Если уж сравнивать IIS то с апачем на котором есть скриптовый язык, поддержка WebDav, SSL, аутентификация Kerberos и по сертификатам и других дефалтовые фичи IIS. А не прогу раздающую текстовые файлы через 80й порт.
Без проблем, mod_perl в качестве скриптового языка пройдет? А аутентификацию, WebDav и Kerberos тоже загрузить не сложно, благо есть модули, и надо заметить что по этим модулям была дырка только в SSL и та считалась критической только при определенных условия, которые в прочем в природе встречаются достаточно редко  8)
 
 
 
#46
Это нравится:0Да/0Нет
29.12.2005 13:11:08
Цитата

Гость (29.12.2005 09:56:23):
Соотвественно давайте не будем сравнивать два разных по фичесету продукта?
Если уж сравнивать IIS то с апачем на котором есть скриптовый язык, поддержка WebDav, SSL, аутентификация Kerberos и по сертификатам и других дефалтовые фичи IIS. А не прогу раздающую текстовые файлы через 80й порт.

Ой. Действительно, как можно сравнивать два веб-сервака, когда на одном из них по дефолу висит туева хуча сервисов, которые торчат в инет зачем-то, а вторая по дефолту представляет собой "прогу раздающую текстовые файлы через 80й порт".

2 TeckLord
Цитата
Тут я согласен с Александром. Несомненно, есть зависимость между количеством найденных уязвимостей и популярностью продукта.
Блин. Да я же не спорю, есть конечно. Но не единственная она, их тех что влияют на дырявость кода.

Цитата
А открыт код или закрыт - это ИМХО особого значения не имеет
ИМХО, не шибко согласен.
 
 
 
#47
Это нравится:0Да/0Нет
29.12.2005 13:11:47
За фокса как фанат отплачу :P и немного покритикую методы рассчетов и выводов :funny:

1) Интересно однако что в выводах не учитывалось время существования уязвимостей и скорость их исправления.Почему-то никто официально не констатировал на секлабе тот факт что микрософт родил недавние патчи для IE для дыр существовавших хрен знает сколько только когда юзеров стали глушить эксплойтами массово (что вообще традиционно для Microsoft - они о дырах знают но порой рожают патчи только когда наичинается массовый долбеж юзеров).

2) Червяки под линукс это конечно, круто, модно и современно.Но если посмотреть от чего наибольший вред интернету в данный момент - так это просто банальные миллионы зомби.И они определенно не под управлением *никсов работают.Ну понятное дело, к миллионам зомби все настолько привыкли что появление еще эн уже даже за взлом не считается и соответственно статистику кое кому из редмонда как бы и не портит даже :funny:
 
 
 
#48
Это нравится:0Да/0Нет
29.12.2005 13:18:45
Быстренько плюсуем к IE
"US-CERT Technical Cyber Security Alert TA05-362A" от декабря 28 2005 года.
 
 
 
#49
Это нравится:0Да/0Нет
29.12.2005 13:21:33
Цитата
Dmitry2005 пишет:
Быстренько плюсуем к IE

К IE это не имеет никакого отношения. Читать приведенную ссылку.
 
 
 
#50
Это нравится:0Да/0Нет
29.12.2005 13:23:35
Цитата
Скучающий пишет:
Действительно, как можно сравнивать два веб-сервака, когда на одном из них по дефолу висит туева хуча сервисов, которые торчат в инет зачем-то,

До того момента, когда на твой апач не придется все эти службы взгромоздить что бы прикладнуха заработала.
Более сложная чем get /index.htm http/1.0
 
 
 
#51
Это нравится:0Да/0Нет
29.12.2005 13:50:06
Цитата
До того момента, когда на твой апач не придется все эти службы взгромоздить что бы прикладнуха заработала.
Более сложная чем get /index.htm http/1.0
Интересно, а что более сложного броузер спрашивает у HTTP сервера для получения от него странички  8)
Про что такое GET,POST и остальное из этой же серии (аутентификация в тто числе) рассказывать не надо, стандарты благо опубликованы и по роду деятельности приходится регулярно их штудировать (надеюсь слово знакомо). Так что сам сервер генерит эту страничку или считывает откуда либо еще, это не важно, идеологически ксттати более правильно если сервак будет откуда то страничку брать, с диска или с сервера приложений это не важно, важно ее отдать, а все остальное типа скриптовых языков это от лукавого, IMHO конечно.
 
 
 
#52
Это нравится:0Да/0Нет
29.12.2005 13:51:08
Цитата
Dmitry2005 пишет:
Быстренько плюсуем к IE
"US-CERT Technical Cyber Security Alert TA05-362A" от декабря 28 2005 года.
http://www.securitylab.ru/vulnerability/243581.php
Эта уязвимость не имеет ничего общего с ИЕ

а вот эту можно приплюсовать :)
http://www.securitylab.ru/vulnerability/243571.php
 
 
 
#53
Это нравится:0Да/0Нет
29.12.2005 13:52:18
Цитата
Судебное преследование со стороны производителей музыки привело к закрытию большинства самых популярных пиринговых сетей, оставшиеся сети были вынуждены перейти на скачивание только легального контента.
Это тоже  *  ньюс.Наверное, он пишется для RIAA и Microsoft.Ну взять например ed2k... формально конечно MetaMachine заварившая когда-то эту кашу сама по добру поздорову отползла пока им не наваляли по полной.Только вот в последнее время дела у них шли неважно, ибо 90...98% сети составляли клиенты не от MetaMachine а всякие eMule, lphant, mldonkey, aMule, eMulePlus, xMule ... :funny:.Соответственно, потери - чисто формальные.Их никто не заметил.И даже если удастся закрыть около сотни серверов ed2k это не смертельно - оно прекрасно работает в serverless варианте.Удачи в закрытии миллионов юзеров :funny:.И еще... как вы себе представляете цензуру контента в сети сделанной как DHT?Правильно, никак.Сосайте, цензоры, ваше время не так давно кончилось.Увы...  :funny:
 
 
 
#54
Это нравится:0Да/0Нет
29.12.2005 13:57:23
[q]Основатель компании Microsoft Билл Гейтс предложил вживлять чипы в мозг человека.[/q гм]...тем не менее, он себе вживлять ничего не собирается! :o
 
 
 
#55
Это нравится:0Да/0Нет
29.12.2005 14:05:49
Цитата
Гость пишет:
у HTTP сервера

Послушай трафик между OWA и браузером или там между браузером и оракловым ERP.
 
 
 
#56
Это нравится:0Да/0Нет
29.12.2005 14:27:43
Цитата
Послушай трафик между OWA и браузером или там между браузером и оракловым ERP.
Ты ничего не путаешь? Что же ты там "услышал" от интернет-браузера или apache-сервера?

по HTTP/1.1 : ftp://ftp.isi.edu/in-notes/rfc2616.txt
 
 
 
#57
Это нравится:0Да/0Нет
29.12.2005 14:43:03
Цитата
Ты ничего не путаешь? Что же ты там "услышал" от интернет-браузера или apache-сервера?

не к ораклу конечно ... WebDAV-трафик например немного будет отличаться от тривиального GET / HTTP/1.1
 
 
 
#58
Это нравится:0Да/0Нет
29.12.2005 15:19:29
Цитата
не к ораклу конечно ... WebDAV-трафик например немного будет отличаться от тривиального GET / HTTP/1.1
Согласен. Что-то вроде:

Код
 >>REQUEST

     CHECKOUT /foo.html HTTP/1.1
     Host: www.webdav.org

   >>RESPONSE

     HTTP/1.1 409 Conflict
     Content-Type: text/xml; charset="utf-8"
     Content-Length: xxxx

     <?xml version="1.0" encoding="utf-8" ?>
     <D:error xmlns:D="DAV:">
       <D:must-be-checked-in/>
     </D:error>


Но к посту с содержанием
Цитата
Соотвественно давайте не будем сравнивать два разных по фичесету продукта?
Если уж сравнивать IIS то с апачем на котором есть скриптовый язык, поддержка WebDav, SSL, аутентификация Kerberos и по сертификатам и других дефалтовые фичи IIS. А не прогу раздающую текстовые файлы через 80й порт.
и
Цитата
Послушай трафик между OWA и браузером или там между браузером и оракловым ERP.
все равно отношения не имеет.
 
 
 
#59
Это нравится:0Да/0Нет
29.12.2005 17:19:58
Харош ругаться! С Новым Годом! ;)
 
 
 
#60
Это нравится:0Да/0Нет
30.12.2005 03:02:33
Цитата
Александр Антипов пишет:
Я не понимаю какая разница конечному пользователю открыты или закрыты исходники?
Рассмотрим задачку.

Условие:
Компания A выпускает ПО с открытым исходным кодом, компания Б выпускает ПО с закрытым кодом.
Однажды в продуктах компаний A и Б обнаруживаются критические уязвимости.
Представители компаний A и Б делают одинаковое заявление, например:  "Исправление будет доступно не позднее 6 месяцев со дня обнаружения. Мы должны тщательно протестировать исправление." либо "Исправление будет выпущено в плановом режиме и будет доступно в следующем кумулятивном патче через месяц", либо "Устранение данной ошибки не входит в наши планы, т.к. наши головастые эксперты считают ошибку неопасной" :)
Временного решения(workaround) не существует в данный момент.
Расторопность программистов компаний А и Б, для определенности, принимаем равной.  

Вопрос:
Кто дольше будет оставаться незащищенным и будет иметь все шансы пострадать в такой ситуации - пользователи программного обеспечения компании А или пользователи программного обеспечения компании Б?

Правильный ответ:
В таком случае пользователи продуктов с закрытым исходным кодом от компании Б будут натянуты в порядке очереди полчищами киддисов при выходе эксплоита, в то время, как у пользователей продуктов с открытым исходным кодом компании А будет решение проблемы в срок от 5 минут до нескольких часов в мейллисте или от одного из кулибиных в виде solve_your_big_trouble.patch или даже dev_hands_magic.diff.
Ситуация вполне реальная, правда в указанном случае есть временное решение.

Цитата
Александр Антипов пишет:
Да ПОДАВЛЯЮЩЕМУ большинству это все равно.
Подавляющее большинство вообще кладет на безопасность(sic!): "Да кому нужен мой компьютер(сайт)?", "Пусть взламывают - у меня там все равно ничего ценного нет",  "Да какое мне дело до этих ваших стеков, куч, процессоров, ядер, переполнений, инжекций, инклужнов, XSS, адвайзори и прочей китайской грамоты?".  Как раз хакерская клиентура и закуска для червяков. )))))

Цитата
Александр Антипов пишет:
А по поводу дыр в большинстве находят не изучая исходники.
Примитивные уязвимости вроде perl -e "printf 'GET /' . 'A' x1024 . 'HTTP/1.0\n'"|nc victim.org 80 или suid -x `perl -e "printf 'A'  x 2048"` - вполне можно обнаружить и методом научного тыка, а вот более замысловатые ошибки без исходников или помощи IDA - весьма сомнительно.
 
 
 
Страницы: Пред. 1 2 3 4 След.
Читают тему