Неосторожное обращение с Subversion привело к уязвимости тысяч сайтов

25.09.2009 23:52

Антон Исайкин опубликовал результаты шокирующего исследования, показавшего, что банальная невнимательность при обращении с системой контроля версий Subversion может привести к уязвимости крупнейших ресурсов, среди которых некоторые проекты Rambler, Yandex, РБК, mail.ru, 003.ru, bolero.ru, habrahabr.ru, сайты opera.com, apache.org.

Проблема в том, что при генерации корня сайта из SVN, создается директория .svn с полной копией всех данных, Если доступ к данной директории не закрыть, а как показала практика никто на это не обращает внимание, то любой злоумышленник, зная структуру системного каталога SVN, может получить доступ к исходным текстам всех скриптов и файлов (все последние версии файлов хранятся с расширением .svn-base, что дает возможность открыть их как текст). Сканирование доменов рунета на предмет наличия файла "/.svn/entries" привело к обнаружению 3320 уязвимых хостов.

исправить +2 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/23589-security

Ключевые слова: security

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (27)

1.1, аноним (?), 00:15, 26/09/2009 [ответить] [﹢﹢﹢] [ · · · ] [↓] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
и что ? кто-то увидит исходники моего сайтега на друпале?

2.30, Аноним (-), 19:10, 05/10/2009 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
На вашем сайте опасная уязвимость - враг может слить ваш index.html :)

1.2, Karbofos (??), 00:23, 26/09/2009 [ответить] [﹢﹢﹢] [ · · · ] [↑] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+5 +/–
вот и станет опера опенсорсом ;-)

1.3, Анон (?), 00:36, 26/09/2009 [ответить] [﹢﹢﹢] [ · · · ] [↓] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
Вот потому и люблю GIT - одна папка .git и ничего лишнего. HG также подвержен данному преимуществу :)

2.4, Аноним (-), 00:58, 26/09/2009 [^] [^^] [^^^] [ответить] [↓] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
Чем папка .git принципиально отличается от .svn?

3.10, Аноним (-), 08:41, 26/09/2009 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
>Чем папка .git принципиально отличается от .svn? Тем, что она не создается в дереве созданных после checkout данных.

4.15, Alexey (??), 13:43, 26/09/2009 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+1 +/–
2 причины почему .git лучше .svn для взломщика: 1) Взломщику не надо шерстить все дерево каталогов для получения слепка сайта (как для .svn), т.к. каталог .git содержит всю необходимую информацию 2) Взломщик получает не последнии версии файлов в репозитории, а весь репозиторий с историей, что особенно полезно, т.к. в первых коммитах неосторожные программисты имеют привычку явно прописывать свои пароли (которые использовались на время тестирования).

4.16, Аноним (-), 02:41, 27/09/2009 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
А где она создается? В svn тоже можно получить файлы без создания .svn.

2.14, тигар (ok), 12:02, 26/09/2009 [^] [^^] [^^^] [ответить] [↑] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
стянув .git ты локально из этой херни сможешь поиметь копию файлов. теже яйца только в профиль.

1.5, Pilat (ok), 01:02, 26/09/2009 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]

+/–

>...никто на это не обращает внимания ... 3320 уязвимых хостов.
>

Вывод: В России 3320 хостов. Пузырь лопнул.

Я не знаю как это "открытие" могло остаться незамеченным, но все, хоть раз ставившие распространённые программы, типа Drupal, видели, что он в .htaccess запрещает доступ ко многим директориям и к .svn в частности, и наверняка в своих проектах тоже закрывают доступ. В России несколько больше, чем 3320 хостов.

2.25, charon (ok), 11:14, 29/09/2009 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
Что за странный вывод? 3320 хостов, использующих SVN с невнимательными админами.

1.6, Square (ok), 02:16, 26/09/2009 [ответить] [﹢﹢﹢] [ · · · ] [↑] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+2 +/–
Да, да, мы в курсе, мы читаем Хабр :) Отличная работа и хорошо проведенное исследование. Странно что новость появилась на опенете только через два дня.

1.11, RapteR (ok), 09:03, 26/09/2009 [ответить] [﹢﹢﹢] [ · · · ] [↓] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
http://ru2.php.net/.svn/entries - уже интереснее. На апаче до сих пор хтаксес не положили :(

2.13, Samm (??), 11:22, 26/09/2009 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
>http://ru2.php.net/.svn/entries - уже интереснее. На апаче до сих пор хтаксес не положили >:( Стгашная дыга, особенно учитывая то, что он кормится из паблик свн )

1.12, Natrio (?), 09:51, 26/09/2009 [ответить] [﹢﹢﹢] [ · · · ] [↑] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+1 +/–
Так вот кто искал у нас на сервере /.svn/entries/ (Которых сроду не было) А то раньше всё больше /phpmyadmin/setup.php искали. Логи сервера как детектив читать можно. :)

1.17, Aesthetus Animus (?), 10:56, 27/09/2009 [ответить] [﹢﹢﹢] [ · · · ] [↓] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+1 +/–
Это ж каким надо дятлом быть, чтобы checkout-копию разместить на сайте???

2.18, тигар (ok), 23:33, 27/09/2009 [^] [^^] [^^^] [ответить] [↓] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
веб девелопером, а что?

3.20, User294 (ok), 13:26, 28/09/2009 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
Настолько безбашенных вебдевов я не видел. Хотя если верить результатам - они вполне себе бывают :D.Совет им на будущее: будьте человеками! Выкладывайте сразу тарболы и ссылки на них - так качать попроще ;)

3.22, Aesthetus Animus (?), 14:39, 28/09/2009 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
>веб девелопером, а что? Сами-то не чуствуете, как от вашей реплики отдает протухшим снобизмом?

4.23, тигар (ok), 14:47, 28/09/2009 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	–1 +/–
каков вопрос - таков ответ. не админы ж так делают;-)

5.24, Michael Shigorin (ok), 03:04, 29/09/2009 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
Errare errarum err. :)

2.19, ihanick (ok), 00:23, 28/09/2009 [^] [^^] [^^^] [ответить] [↑] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
как насчёт синхронизации бекэндов с возможностью быстрого отката на дереве в 50тыс сорцовых файлов с гарантией, что все бекенды соответствуют мастеркопии? rsync надо постоянно указывать эксклуды новые, чтобы он очередные несколько гигабайт картинок не начал синхронизировать (которые и так одинаковые потому что смонтированы с NAS)

3.21, Aesthetus Animus (?), 14:37, 28/09/2009 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]

+/–

>как насчёт синхронизации бекэндов с возможностью быстрого отката на дереве в 50тыс
>сорцовых файлов с гарантией, что все бекенды соответствуют мастеркопии?

Вы считаете, что это надо? Как известно, все люди умные, только одни сразу, а другие - потом. Иными словами, надо думать заранее, как это у будут гонятся гигабайты исходников, а не выдумывать костыльные решения.

+/–

> как насчёт синхронизации бекэндов с возможностью быстрого отката на дереве в 50тыс сорцовых файлов с гарантией, что все бекенды соответствуют мастеркопии?

Да. Но никогда не чекаутом 'прям туда'.

>(которые и так одинаковые потому что смонтированы с NAS)

Что, rsync вдруг разучился --one-file-system?

1.28, Denis (??), 18:33, 02/10/2009 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
А что простите папка .svn вообще делает на продакшане??? :-О

2.29, Злой дев (?), 17:44, 05/10/2009 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]

+/–

Чё то я не пойму, никогда не работали на больших динамических проектах? Наверное админ, который сам ничего не пишет, админит корпоративную статику "О нас + Контакты" и думает, что идеальный сайт должен иметь до 10 стр, чтобы дегко было их хапомнить наизусть. Нормально продакшн живёт в чекауте, добавляется вот это (см. ниже) в ещё до того, как в далёком будущем будет обнаружен очередной фокус )

# hide all dot-files: .svn, .htconfig etc
RedirectMatch 403 /\..*$

!коммент спец для таких админов

1.31, ffsdmad (??), 00:43, 09/10/2009 [ответить] [﹢﹢﹢] [ · · · ] [↑] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
а можно я такое же исследование опубликую, столько про CVS на мастер хост нет svn git и прочих, вот и юзаем cvs теперь все кому не лень увидят мои css html shtml js и xsl

игнорирование участников | лог модерирования

Добавить комментарий

Имя:

E-Mail:

Текст: