Salve,
On 25 Νοε 2008, at 3:07 ΠΜ, Ti wrote:
Paolo Marchiori wrote:
On Fri, Nov 21, 2008 at 12:55 AM, Ti <[EMAIL PROTECTED]> wrote:
echo none /tmp tmpfs rw,noexec,nosuid,nodev,size=100m 0 0 >> /etc/
fstab
se vogliamo fare gli one-liner, facciamoli bene - così si può
finire
con due entry per /tmp o un overmount.
La speranza era quella di creare qualche interessante spunto, non di
fare qualcosa da copia e incolla.
Andrea Dainese wrote:
Tu ridi, ma fin'ora stiamo parlando di un pericolosissimo bug di
Apache che dovrebbe coinvolgere server da tutto il mondo, e quello su
cui ci basiamo è un (uno) estratto di log, e nessuna conferma
vagamente ufficiale.
Infatti il ROTFL non era per il bug ;-)
Tutta questa faccenda mi sembra a dir poco comica, altro che FUD.
Non ha
senso allarmarsi per delle voci da corridoio.
Cos'è XSS lo so, in realtà ho tagliato per errore
altre due righe: "could have caused a limited denial of service due
to
CPU consumption and stack exhaustion".
Per la verita` credo che ci sia una disattenzione proprio nel numero
dell'advisory, piu` che nelle righe.
ascii wrote:
l'hardening passa anche attraverso un fstab non ritardato ma da qui
a pensare che possa essere considerato un rimedio a questo
fantomatico
(magari reale, magari boh) "apache core bug" la strada e' lunga
Quoto.
Relativamente all'hardening, per cercare di prevenire e contenere si
puo` iniziare con grsecurity (http://www.grsecurity.net/)
Apparte il fatto che questo tipo di hardening, credo, sia scontatto x
la maggior parte della lista, anche questa puo essere aggirata, o
sbaglio? [1]
Anche Bastille Linux puo` essere comodo:
http://bastille-linux.sourceforge.net
https://help.ubuntu.com/community/BastilleLinux
probabilmente e' meglio aspettare maggiori dettagli, dopo tutto se
l'exploit esiste e viene usato qualcuno prima o poi dumpera' il
payload,
se non viene usato non rappresenta un problema per la maggior parte
di
noi, se non esiste non rappresenta un problema per nessuno
QUOTO!
saluti,
Francesco Matarazzo
Ma qui stiamo parlando di cio' che abbiamo, non possiamo parlare di
cio che *non* abbiamo. Dal momento che, come descritto sopra, i logs
ci sono, ed apache2 e' stato bucato senza moduli php/python/perl/etc
non vedo perche non si possa trattare di un exploit. Non sono
tantissimi quelli che stanno attenti hai logs dei loro server, ne
quelli che sono preposti a spartire informazioni del genere.
La tesi di un exploit non e' fantascientifica. Non sara la prima volta
che una vulneribilita restera al "wild" per un bel po, prima che
qualcuno rilascia un advisory od un exploit. Anzi direi che e' molto
piu comune questo scenario che l'opposto (pubblicare l'adv e poi
l'exploit per *testare* il server). Chi ha fatto parte in una "crew"
in passato o nel presente lo sa bene.
Per i commenti, sul genere del thread FUD o non FUD. A me sempra molto
interessante come thread: Se a qualcuno non interesse puo marcarlo
come "read" sul suo mail client. Per il momento e' possibile spartire
informazioni di questo genere. Cosi chi ha interesse, prende le
contromisure adatte (lighttpd, etc).
[1] http://www.securityfocus.com/bid/28889
Panagiotis (atma) Atmatzidis
email: [EMAIL PROTECTED]
URL: http://www.convalesco.org
--
The wise man said: "Never argue with an idiot. They bring you down to
their level and beat you with experience."
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
