Sivu 2/2
Lähetetty: 11 Loka 2006, 12:34
Kirjoittaja Anubis
Lurttinen kirjoitti:IMO, palveluntarjoaja toimii täsmälleen oikein, sillä vaarassa ei ole vain yksi sivusto, vaan koko palvelin ja kaikki siellä olevat sivustot.
Nyt puhutaan todella vakavista uhista palvelimelle ja ei todellakaan voi sanoa, että "ilman syytä".
Oikein säädetyllä palvelimella kräkkeri ei pääse asiakkaan sivutilalla olevalla sovelluksesta muualle kuin sen asiakkaan omiin tiedostoihin.
Sen sijaan järkeväähän tuo päivitys on tehdä, mutta ei se ole mikään uhkailun paikka.
Lähetetty: 11 Loka 2006, 13:13
Kirjoittaja Lurttinen
Anubis kirjoitti:
Oikein säädetyllä palvelimella kräkkeri ei pääse asiakkaan sivutilalla olevalla sovelluksesta muualle kuin sen asiakkaan omiin tiedostoihin.
Siinä ei säädöt auta, jos käytettävä ohjelmisto vuotaa, kuten esimerkiksi kuukausi sitten paljastunut haavoittuvuus monella palvelimella käytössä olevasta cPanel hallintaohjelmasta.
Se vaatii tunnukset cPaneliin ja antaa hyökkääjälle koko palvelimen.
(edit: eli käytännössä kaikkien webbihotellien asiakkaat, joilla on cPanel käytössä voisivat tehdä paljon tuhojaan, jos osaavat hyödyntää tuota haavoittuvuutta.)
Tai sitten se surullisen kuuluisa awstat haavoittuvuus joitakin aikoja sitten.
Kernel haavoittuvuudet, jne...
Itse palvelin ohjelmistokin voi vuotaa ja siinä ei sitten asetuksetkaan välttämättä auta.
Tokihan noita voi "säädellä" ja asennella MOD_securityä blokkaamaan tietyt jutut. Mutta sekin alkaa helposti vaikuttamaan sitten asiakkaiden sivustojen toimintaan ja sekään ei ole hyvä homma.
Asiakkaat nimittäin lähtevät pois jos eivät pysty ajamaan haluamaansa toimintoa.
Lähetetty: 11 Loka 2006, 14:17
Kirjoittaja Anubis
Lurttinen kirjoitti:Siinä ei säädöt auta, jos käytettävä ohjelmisto vuotaa, kuten esimerkiksi kuukausi sitten paljastunut haavoittuvuus monella palvelimella käytössä olevasta cPanel hallintaohjelmasta.
Se vaatii tunnukset cPaneliin ja antaa hyökkääjälle koko palvelimen.
(edit: eli käytännössä kaikkien webbihotellien asiakkaat, joilla on cPanel käytössä voisivat tehdä paljon tuhojaan, jos osaavat hyödyntää tuota haavoittuvuutta.)
cPanelia ajettiin rootin tunnuksella, tai tunnuksella, jolla oli oikeudet kirjoittaa jokaisen käyttäjän hakemistoihin (oikeasti cpanelhan kikkailee .htaccess tiedostojen kanssa). Mutta kuitenkin cpanelilla ajettavalla käyttäjätunnuksella on huomattavasti enemmän oikeuksia kirjoittaa eri paikkoihin kuin normiwebhotelliasiakkaan tunnuksella.
Lurttinen kirjoitti:Tai sitten se surullisen kuuluisa awstat haavoittuvuus joitakin aikoja sitten.
awstatia ajetaan aika usein rootin tunnuksella, joten reiästä on aukko rootin tunnariin, ei normi webhotelliasiakkaan.
Lurttinen kirjoitti:Kernel haavoittuvuudet, jne...
Itse palvelin ohjelmistokin voi vuotaa ja siinä ei sitten asetuksetkaan välttämättä auta.
Noillakaan ei ole mitään tekemistä normiwebhotelliasiakkaan tunnuksen kanssa.
Se, että cPanelissa on joku aukko ei tarkoita sitä että asiakkaita pelotellaan sulkemalla tunnuksia vaan isp itse korjaa sen aukon tai vaihtaa käyttöön ohjelman, jossa ei ole aukkoja. Tämän vuksi vältänkin firmoja, joissa on cPanel käytössä. CPanelissa eriityvät bugit on 100% isp:n ongelma, ei asiakkaan.
Siis onhan tuo phpBB päivitys tärkeää, mutta motivaationa ei saa olla isp:n sulkuyritykset.
Lähetetty: 11 Loka 2006, 15:59
Kirjoittaja irma
Käytännössä tuon päivityksen vois hoitaa niin, että lataan uusimman version phpbb.comista, suomalaisen kielipaketin ja haluamasi tyylin.
Highly Honored Harmless,
jos mitenkään kehtaat tehdä tämän... olisin kiitollinen.
Väri siis subRed. Ei tuo asennus vaikuta mitenkään kauhealta, ainut mikä hirvittää on se että tuhoan jotain lopullisesti. Rekisteröityneitä foorumilla on 212 ja viestejä tulee yleensä alle 10 päivässä.
Ei kannata käyttää energiaa riitelyyn ja kaikkien etu tietysti on että tietoturva on kunnossa.
Lähetetty: 11 Loka 2006, 18:22
Kirjoittaja mrl586
irma kirjoitti:Ei tuo asennus vaikuta mitenkään kauhealta, ainut mikä hirvittää on se että tuhoan jotain lopullisesti.
Tee backupit kaikista palvelimella olevista phpBB:n tiedostoista ja koko tietokannasta, niin et voi tuhota mitään lopullisesti.
Lähetetty: 11 Loka 2006, 18:27
Kirjoittaja mrl586
Anubis kirjoitti:...tai vaihtaa käyttöön ohjelman, jossa ei ole aukkoja.
Missä ohjelmassa ei ole yhtään aukkoa?
Lähetetty: 11 Loka 2006, 18:34
Kirjoittaja Anubis
mrl586 kirjoitti:Anubis kirjoitti:...tai vaihtaa käyttöön ohjelman, jossa ei ole aukkoja.
Missä ohjelmassa ei ole yhtään aukkoa?
Hello Worldissä.
Siksipä pitääkin olla varovainen noissa ohjelmien kanssa.
Lähetetty: 11 Loka 2006, 22:27
Kirjoittaja Lurttinen
Nyt on 2.0.21 asennettu ja toimmii, mutta olikos sulla joku oma logo siellä...
Ei pitäis olla webbihotellilla enään sijaa narista foorumin suhteen...
Laitoin ne samat piilotukset, mitä täältä joskus laitoit. Laitoin uusimman version tuosta subred tyylistä, jossa on templaatin muutokset mukana.
Foorumin tiedostot korvattiin täysin viimeisimmillä versioilla.
huutele, jos jotain jäi uupumaan. Ei siellä näyttänyt olevan mitään selkeitä MODeja asennettuna, mutta eihän sitä koskaan tiedä/muista kaikkea yhdellä kertaa.
Lähetetty: 11 Loka 2006, 23:22
Kirjoittaja irma
