форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение		[ Отслеживать ]

"Неосторожное обращение с Subversion привело к уязвимости тыс..."		+/–
Сообщение от opennews on 26-Сен-09, 00:15
Антон Исайкин опубликовал (http://habrahabr.ru/blogs/infosecurity/70330/) результаты шокирующего исследования, показавшего, что банальная невнимательность при обращении с системой контроля версий  Subversion может привести к уязвимости крупнейших ресурсов, среди которых некоторые проекты Rambler, Yandex, РБК, mail.ru, 003.ru, bolero.ru, habrahabr.ru, сайты opera.com, apache.org. Проблема в том, что при генерации корня сайта из SVN, создается директория .svn с полной копией всех данных, Если доступ к данной директории не закрыть, а как показала практика никто на это не обращает внимание, то любой злоумышленник, зная структуру системного каталога SVN, может получить доступ к исходным текстам всех скриптов и файлов (все последние версии файлов хранятся с расширением .svn-base, что дает возможность открыть их как текст). Сканирование доменов рунета на предмет наличия файла "/.svn/entries" привело к обнаружению 3320 уязвимых хостов. URL: http://habrahabr.ru/blogs/infosecurity/70330/ Новость: http://www.opennet.dev/opennews/art.shtml?num=23589
Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Неосторожное обращение с Subversion привело к уязвимости тыс..."		+/–
Сообщение от аноним on 26-Сен-09, 00:15
и что ? кто-то увидит исходники моего сайтега на друпале?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	30. "Неосторожное обращение с Subversion привело к уязвимости тыс..."		+/–
	Сообщение от Аноним (??) on 05-Окт-09, 19:10
	На вашем сайте опасная уязвимость - враг может слить ваш index.html :)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Неосторожное обращение с Subversion привело к уязвимости тыс..."		+5 +/–
Сообщение от Karbofos (??) on 26-Сен-09, 00:23
вот и станет опера опенсорсом ;-)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Неосторожное обращение с Subversion привело к уязвимости тыс..."		+/–
Сообщение от Анон on 26-Сен-09, 00:36
Вот потому и люблю GIT - одна папка .git и ничего лишнего. HG также подвержен данному преимуществу :)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "Неосторожное обращение с Subversion привело к уязвимости тыс..."		+/–
	Сообщение от Аноним (??) on 26-Сен-09, 00:58
	Чем папка .git принципиально отличается от .svn?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	10. "Неосторожное обращение с Subversion привело к уязвимости тыс..."		+/–
	Сообщение от Аноним (??) on 26-Сен-09, 08:41
	>Чем папка .git принципиально отличается от .svn? Тем, что она не создается в дереве созданных после checkout данных.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	15. "Неосторожное обращение с Subversion привело к уязвимости тыс..."		+1 +/–
	Сообщение от Alexey (??) on 26-Сен-09, 13:43
	2 причины почему .git лучше .svn для взломщика: 1) Взломщику не надо шерстить все дерево каталогов для получения слепка сайта (как для .svn), т.к. каталог .git содержит всю необходимую информацию 2) Взломщик получает не последнии версии файлов в репозитории, а весь репозиторий с историей, что особенно полезно, т.к. в первых коммитах неосторожные программисты имеют привычку явно прописывать свои пароли (которые использовались на время тестирования).
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	16. "Неосторожное обращение с Subversion привело к уязвимости тыс..."		+/–
	Сообщение от Аноним (??) on 27-Сен-09, 02:41
	А где она создается? В svn тоже можно получить файлы без создания .svn.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	14. "Неосторожное обращение с Subversion привело к уязвимости тыс..."		+/–
	Сообщение от тигар (ok) on 26-Сен-09, 12:02
	стянув .git ты локально из этой херни сможешь поиметь копию файлов. теже яйца только в профиль.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Неосторожное обращение с Subversion привело к уязвимости тыс..."		+/–
Сообщение от Pilat (ok) on 26-Сен-09, 01:02
>...никто на это не обращает внимания ... 3320 уязвимых хостов. > Вывод: В России 3320 хостов. Пузырь лопнул. Я не знаю как это "открытие" могло остаться незамеченным, но все, хоть раз ставившие распространённые программы, типа Drupal, видели, что он в .htaccess запрещает доступ ко многим директориям и к .svn в частности, и наверняка в своих проектах тоже закрывают доступ. В России несколько больше, чем 3320 хостов.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	25. "Неосторожное обращение с Subversion привело к уязвимости тыс..."		+/–
	Сообщение от charon (ok) on 29-Сен-09, 11:14
	Что за странный вывод? 3320 хостов, использующих SVN с невнимательными админами.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Неосторожное обращение с Subversion привело к уязвимости тыс..."		+2 +/–
Сообщение от Square (ok) on 26-Сен-09, 02:16
Да, да, мы в курсе, мы читаем Хабр :) Отличная работа и хорошо проведенное исследование. Странно что новость появилась на опенете только через два дня.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Неосторожное обращение с Subversion привело к уязвимости тыс..."		+/–
Сообщение от RapteR (ok) on 26-Сен-09, 09:03
http://ru2.php.net/.svn/entries - уже интереснее. На апаче до сих пор хтаксес не положили :(
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	13. "Неосторожное обращение с Subversion привело к уязвимости тыс..."		+/–
	Сообщение от Samm (??) on 26-Сен-09, 11:22
	>http://ru2.php.net/.svn/entries - уже интереснее. На апаче до сих пор хтаксес не положили >:( Стгашная дыга, особенно учитывая то, что он кормится из паблик свн )
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Теперь всё ясно."		+1 +/–
Сообщение от Natrio on 26-Сен-09, 09:51
Так вот кто искал у нас на сервере /.svn/entries/ (Которых сроду не было) А то раньше всё больше /phpmyadmin/setup.php искали. Логи сервера как детектив читать можно. :)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "Неосторожное обращение с Subversion привело к уязвимости тыс..."		+1 +/–
Сообщение от Aesthetus Animus on 27-Сен-09, 10:56
Это ж каким надо дятлом быть, чтобы checkout-копию разместить на сайте???
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	18. "Неосторожное обращение с Subversion привело к уязвимости тыс..."		+/–
	Сообщение от тигар (ok) on 27-Сен-09, 23:33
	веб девелопером, а что?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	20. "Неосторожное обращение с Subversion привело к уязвимости тыс..."		+/–
	Сообщение от User294 (ok) on 28-Сен-09, 13:26
	Настолько безбашенных вебдевов я не видел. Хотя если верить результатам - они вполне себе бывают :D.Совет им на будущее: будьте человеками! Выкладывайте сразу тарболы и ссылки на них - так качать попроще ;)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	22. "Неосторожное обращение с Subversion привело к уязвимости тыс..."		+/–
	Сообщение от Aesthetus Animus on 28-Сен-09, 14:39
	>веб девелопером, а что? Сами-то не чуствуете, как от вашей реплики отдает протухшим снобизмом?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	23. "Неосторожное обращение с Subversion привело к уязвимости тыс..."		–1 +/–
	Сообщение от тигар (ok) on 28-Сен-09, 14:47
	каков вопрос - таков ответ. не админы ж так делают;-)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	24. "Неосторожное обращение с Subversion привело к уязвимости тыс..."		+/–
	Сообщение от Michael Shigorin (ok) on 29-Сен-09, 03:04
	Errare errarum err. :)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	19. "Неосторожное обращение с Subversion привело к уязвимости тыс..."		+/–
	Сообщение от ihanick (ok) on 28-Сен-09, 00:23
	как насчёт синхронизации бекэндов с возможностью быстрого отката на дереве в 50тыс сорцовых файлов с гарантией, что все бекенды соответствуют мастеркопии? rsync надо постоянно указывать эксклуды новые, чтобы он очередные несколько гигабайт картинок не начал синхронизировать (которые и так одинаковые потому что смонтированы с NAS)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	21. "Неосторожное обращение с Subversion привело к уязвимости тыс..."		+/–
	Сообщение от Aesthetus Animus on 28-Сен-09, 14:37
	>как насчёт синхронизации бекэндов с возможностью быстрого отката на дереве в 50тыс >сорцовых файлов с гарантией, что все бекенды соответствуют мастеркопии? Вы считаете, что это надо? Как известно, все люди умные, только одни сразу, а другие - потом. Иными словами, надо думать заранее, как это у будут гонятся гигабайты исходников, а не выдумывать костыльные решения.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	27. "Неосторожное обращение с Subversion привело к уязвимости тыс..."		+/–
	Сообщение от аноним on 29-Сен-09, 15:32
	> как насчёт синхронизации бекэндов с возможностью быстрого отката на дереве в 50тыс сорцовых файлов с гарантией, что все бекенды соответствуют мастеркопии? Да. Но никогда не чекаутом `прям туда'. >(которые и так одинаковые потому что смонтированы с NAS) Что, rsync вдруг разучился --one-file-system?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

28. "Неосторожное обращение с Subversion привело к уязвимости тыс"		+/–
Сообщение от Denis (??) on 02-Окт-09, 18:33
А что простите папка .svn вообще делает на продакшане??? :-О
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	29. "Неосторожное обращение с Subversion привело к уязвимости тыс"		+/–
	Сообщение от Злой дев on 05-Окт-09, 17:44
	Чё то я не пойму, никогда не работали на больших динамических проектах? Наверное админ, который сам ничего не пишет, админит корпоративную статику "О нас + Контакты" и думает, что идеальный сайт должен иметь до 10 стр, чтобы дегко было их хапомнить наизусть. Нормально продакшн живёт в чекауте, добавляется вот это (см. ниже) в  ещё до того, как в далёком будущем будет обнаружен очередной фокус ) # hide all dot-files: .svn, .htconfig etc RedirectMatch 403 /\..*$ !коммент спец для таких админов
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

31. "Неосторожное обращение с Subversion привело к уязвимости тыс..."		+/–
Сообщение от ffsdmad (??) on 09-Окт-09, 00:43
а можно я такое же исследование опубликую, столько про CVS на мастер хост нет svn git и прочих, вот и юзаем cvs теперь все кому не лень увидят мои css html shtml js и xsl
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема