The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Хостинг Savannah.gnu.org взломан неизвестными злоумышленниками"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Хостинг Savannah.gnu.org взломан неизвестными злоумышленниками"  +/
Сообщение от opennews (??) on 30-Ноя-10, 17:53 
Работа хостинга свободных проектов savannah.gnu.org (http://savannah.gnu.org/), в рамках которого развиваются многие GNU-инструменты, временно приостановлена. Судя по опубликованному на сайте сообщению, сервер был взломан через подстановку SQL-запроса в web-сервисе Savane2, в результате чего злоумышленнику удалось получить доступ к базе аккаунтов, содержащей шифрованные пароли всех пользователей хостинга. Используя данную базу, злоумышленнику  удалось подобрать некоторые пароли и использовать из для доступа к размещенным на хостинге проектам.

В настоящее время ведется работа по восстановлению содержимого сервера из резервной копии, созданной 23 ноября. Все изменения, добавленные в репозитории исходных текстов после 23 ноября потребуют ручного восстановления. Статус восстановления можно посмотреть в микроблоге fsfstatus (http://identi.ca/group/fsfstatus).

Одновременно неудача постигла сервер lists.gnu.org, на котором в RAID-массиве оказались (http://identi.ca/notice/59494378...

URL: http://lwn.net/Articles/417709/rss
Новость: http://www.opennet.dev/opennews/art.shtml?num=28836

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


3. "Хостинг Savannah.gnu.org взломан неизвестными злоумышленника..."  –1 +/
Сообщение от klalafuda on 30-Ноя-10, 18:11 
SQL инжект - да неужели?! Я думал, что уж в 21м то веке народ уже не позволяет себе столь откровенных глупостей в дизайне.. :-/
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Хостинг Savannah.gnu.org взломан неизвестными злоумышленника..."  +1 +/
Сообщение от VoDA (ok) on 30-Ноя-10, 18:31 
Если язык это позволяет, то рано или поздно проверка на инжект будет забыта. Человеческий фактор однака )))
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

21. "Хостинг Savannah.gnu.org взломан неизвестными злоумышленника..."  +/
Сообщение от Аноним123321 (ok) on 01-Дек-10, 08:54 
> Если язык это позволяет, то рано или поздно проверка на инжект будет забыта
>>>проверка на инжект<<<
>>>>проверка<<<<

o_0!!!

какая нафиг проверка? вы что с луны свалились?! :-D

...никакие проверки на инжект никогда не делаются, а просто навсего происходит разделение SQL-кода-выражения на две части -- на само константное-выражение и на аргументы к нему

(в результате чего SQL-константное-выражение остаётся как есть, а аргументы _автоматически_ ЭКРАНИРУЮТСЯ)

и забыть (человеческий фактор) такое сделать -- попросту НЕВОЗМОЖНО :-) :-)

вот объясни -- как можно ПОСЛУЧАЙНОСТИ ЗАБЫТЬ сделать экранизацию в выражении cursor.execute(...) ???, где:

    import MySQLdb
    conn = MySQLdb.connect(host = "localhost",
                             user = "testuser",
                             passwd = "testpass",
                             db = "test")
    cursor = conn.cursor()
    animal = 'snake'
    name = 'turtle'
    cursor.execute("""
           UPDATE animal SET name = %s
           WHERE name = %s
         """, (animal, name))

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

23. "Хостинг Savannah.gnu.org взломан неизвестными злоумышленника..."  –2 +/
Сообщение от Sw00p aka Jerom on 01-Дек-10, 09:34 
>>вот объясни -- как можно ПОСЛУЧАЙНОСТИ ЗАБЫТЬ сделать экранизацию в выражении cursor.execute(...) ???, где:

пхп открой уважаемый
если ты знаешь что такое SQl injection это не означает что все знают


пс: все уязвимости появились после появления этого долбанного пхп )))

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

25. "Хостинг Savannah.gnu.org взломан неизвестными злоумышленника..."  +/
Сообщение от SubGun (ok) on 01-Дек-10, 10:30 
Само собой, виноват именно php))) В убожестве ВАЗ тоже виноваты станки, а не кривые руки производителей.
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

32. "Хостинг Savannah.gnu.org взломан неизвестными злоумышленника..."  +/
Сообщение от Sw00p aka Jerom on 01-Дек-10, 17:26 
виноваты кривые руки не производителей ВАЗа а производителей станков
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

35. "Хостинг Savannah.gnu.org взломан неизвестными злоумышленника..."  +/
Сообщение от IGX on 02-Дек-10, 06:52 
Вообще-то у ВАЗа был свой крупный завод станков.
Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

27. "Хостинг Savannah.gnu.org взломан неизвестными злоумышленника..."  +/
Сообщение от klalafuda on 01-Дек-10, 11:13 
> пхп открой уважаемый
> если ты знаешь что такое SQl injection это не означает что все
> знают
> пс: все уязвимости появились после появления этого долбанного пхп )))

В PHP сто лет в обед как есть PDO с вменяемой поддержкой prepared statements. Точно так же как в Perl есть DBI или в Ruby или Python свои аналогичные обвязки. Если кто-то их не использует - это уже сугубо его личные сексуальные трудности и язык здесь бессилен. Любой.

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

33. "Хостинг Savannah.gnu.org взломан неизвестными злоумышленника..."  +/
Сообщение от Sw00p aka Jerom on 01-Дек-10, 17:31 
>> пхп открой уважаемый
>> если ты знаешь что такое SQl injection это не означает что все
>> знают
>> пс: все уязвимости появились после появления этого долбанного пхп )))
> В PHP сто лет в обед как есть PDO с вменяемой поддержкой
> prepared statements. Точно так же как в Perl есть DBI или
> в Ruby или Python свои аналогичные обвязки. Если кто-то их не
> использует - это уже сугубо его личные сексуальные трудности и язык
> здесь бессилен. Любой.

пр препейред слышали проценты - ибо пхпешники такой тип прогеров (в основном начинающих) которым - лиш бы работало

и плюс виноваты разработчики субд - нахрена допустим в sql разрешать не закрытый многострочный комент ? или ваще нахрена они там сдались коментарии ?

виноваты разработчики API к субд - нахрена создавать небезопасные функции ?

пс: о да о безопасности должен думать проггер бля - а шо человек пишуший API к субд не проггер ? и кто виноват ?

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

34. "Хостинг Savannah.gnu.org взломан неизвестными злоумышленника..."  +/
Сообщение от klalafuda on 01-Дек-10, 19:13 
> пс: о да о безопасности должен думать проггер бля - а шо человек пишуший API к субд не проггер ? и кто виноват ?

В реальности же виноват лишь один дурак, которому указали Путь, следуя которым он избавится от указанных проблем как класса. Тогда как он вместо того, чтобы заняться делом, все продолжает с маниакальной настойчивостью искать виноватых. 'Ищите ищите - должон быть' (c) фильм.

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

26. "Хостинг Savannah.gnu.org взломан неизвестными злоумышленника..."  +/
Сообщение от klalafuda on 01-Дек-10, 11:10 
> вот объясни -- как можно ПОСЛУЧАЙНОСТИ ЗАБЫТЬ сделать экранизацию в выражении cursor.execute(...) ???, где:

Все зависит от того, что в конечном итоге вызывает этот cursor.execute(sql). Если он транслируется скажем в prepared statement то тут при всем желании инжекта не будет, чтобы не задавалось в animal и name. Просто по-определению. Если же он сам конструирует конечное SQL выражение из шаблона и аргументов, которое потом передает на исполнение - то тут уже it depends. При кривых ручках можно получить все, что угодно, и никакие враперы не помогут.

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

6. "Хостинг Savannah.gnu.org взломан неизвестными злоумышленника..."  –1 +/
Сообщение от User294 (ok) on 30-Ноя-10, 18:43 
> SQL инжект - да неужели?! Я думал, что уж в 21м то
> веке народ уже не позволяет себе столь откровенных глупостей в дизайне.. :-/

Ну, кому там не нравились переполнения буфера? Хавайте теперь скуль-иньекции, вполне себе вариант :)

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

10. "Хостинг Savannah.gnu.org взломан неизвестными злоумышленника..."  –1 +/
Сообщение от Ва on 30-Ноя-10, 20:21 
SQL - вообще для блонидинок, но "переполнение буфера" - это не к ним, а к архитектуре процессора
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

11. "Хостинг Savannah.gnu.org взломан неизвестными злоумышленника..."  +1 +/
Сообщение от Marbleless on 30-Ноя-10, 20:52 
>"переполнение буфера" - это не к ним, а к архитектуре процессора

Нет, это чаще всего к Деннису Ричи.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

24. "Хостинг Savannah.gnu.org взломан неизвестными злоумышленника..."  +/
Сообщение от Sw00p aka Jerom on 01-Дек-10, 09:36 
>>"переполнение буфера" - это не к ним, а к архитектуре процессора
> Нет, это чаще всего к Деннису Ричи.

а причём тут Ричи ? то что у вас башка не варит за это надо Ричи винить ?

а то что вы даже понятия не имеете как устроена память - что за это Ричи надо винить ?


Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

30. "Хостинг Savannah.gnu.org взломан неизвестными злоумышленника..."  +1 +/
Сообщение от Marbleless on 01-Дек-10, 14:02 
>а то что вы даже понятия не имеете как устроена память - что за это Ричи надо винить ?

Да ну? Просветите меня, профессор, почему же это переполнение буфера вообще невозможно отследить без специальной аппаратной поддержки, если программа написана на высокоуровневом языке программирования? А то мы, печники, по-своему мыслим.

Большинство прикладных программ на низком уровне с памятью не работают. Переполнение буфера чаще всего возникает из-за отсутствия проверки границ массивов, которая могла бы быть реализована на уровне компилятора, но ее не реализовали в C для выигрыша в производительности. Арифметика указателей осложняет проверку, но можно было бы, например, усложнить указатели, сделав их не обычными числами, а специальными конструкциями, чтобы указывать компилятору, в каких пределах они могут изменяться. Всего этого в языке C нет, даже опционально (как в Фортране, например), и, скорее всего, никогда не будет.

А поскольку большинство программ написано на C, мы с этим будем еще долго жить.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

14. "Хостинг Savannah.gnu.org взломан неизвестными злоумышленника..."  +1 +/
Сообщение от anonymous (??) on 30-Ноя-10, 21:12 
Вы можете предложить что-то лучше?
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

13. "Хостинг Savannah.gnu.org взломан неизвестными злоумышленника..."  +/
Сообщение от Аноним (??) on 30-Ноя-10, 21:01 
что-то GNU не везет.. Хотя может это просто кара ?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

20. "Хостинг Savannah.gnu.org взломан неизвестными злоумышленника..."  +/
Сообщение от gkv311 (ok) on 01-Дек-10, 08:14 
А я то думаю, чего я не могу бинарники linphone для win скачать с понедельника с этого сервера ;))...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

22. "Хостинг Savannah.gnu.org взломан неизвестными злоумышленника..."  +/
Сообщение от ДяДя on 01-Дек-10, 09:31 
Интересно. Тоже думал, что в 21-м веке такого не бывает.
Пытался проделать такое  с Web-сервисом Java EE приложения на GlassFish-е.
К моему великому сожалению - это оказалось невозможным. Хотя допускаю, что в некоторых jdbc драйверах могут быть дыры, но это маловероятно. Я пробовал jTDS и MS SQl. Всё преобразуется (если не изменяет память) в хранимые процедуры с параметрами, которые создаются непосредственно перед извлечением данных, а потом сразу же выполняются с подстановкой параметра, но все опасные символы автоматически экранированы.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

28. "Хостинг Savannah.gnu.org взломан неизвестными злоумышленника..."  +1 +/
Сообщение от Аноним (??) on 01-Дек-10, 11:38 
При желании даже JDBC позволяет выполнять SQL запрос, который можно перед этим выстроить без параметров в строке :)
Так что тут тоже всё возможно.
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

29. "Хостинг Savannah.gnu.org взломан неизвестными злоумышленника..."  +/
Сообщение от ДяДя on 01-Дек-10, 13:47 
Конечно :-) Кривыми руками везде можно накосячить.
Это позволяет любое средство обращения к БД через SQL.

Я просто хотел сказать, что строить запрос в коде руками плохо :-) И есть куча средств, чтобы этого не делать. И это вроде всем понятно и известно. Всегда будут находится недокументированные возможности.

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

31. "Хостинг Savannah.gnu.org взломан неизвестными злоумышленника..."  +/
Сообщение от dq0s4y71 (??) on 01-Дек-10, 14:13 
То-то у меня кое-какие пакеты с savannah.gnu.org с первого раза не скачались!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру