Sim, poderia ser PHP no lugar do ASP que o problema teria sido o mesmo se o desenvolvedor também deixasse o furo. Eu não sei qual foi o sentido que você deu para o que eu escrevi.
O problema é que o portal da Câmara é um dos maiores cases de Zope e muita gente não sabe que lá tem outras tecnologias rodando também. Ontem inúmeros clientes me ligaram perguntando se o problema era do Zope e se os sites deles também estariam vulneráveis. Não quero crucificar o ASP, só não quero que o Zope vá para a cruz. Abraço, On 6/29/07, Olival Júnior <[EMAIL PROTECTED]> wrote:
Vc transcreveu de forma incorreta o q foi dito lá. Não tem *nada* a ver com ASP (pelo menos no sentido q vc está colocando). O q existe é um webservice responsável pela consulta ao banco de notícias. O Zope/Plone invoca este webservice para obter as notícias a partir de parâmetros presentes na URL das manchetes. Agora, infelizmente, a aplicação q respondia pelo webservice tinha uma séria falha na hora de montar a query. Pisada na bola do Desenvolvedor. Mas, até aí, não tinha porque o usuário q lê o banco de notícias ter privilégios de update. Pisada na bola do DBA. E se tivéssemos sido um pouco mais paranóicos, poderíamos ter cortado estes ataques já no proxy-cache. Pisada na bola dos Sysadmins do site (ops... nessa entro eu). :-( O mais chato é q foi algo banal e a infra-estrutura em si não teve um arranhão sequer. Ficamos um tempão fora do ar simplesmente efetuando as revisões necessárias para este tipo de coisa não acontecer (tanto q deixamos o site no ar apenas para a intranet durante o ocorrido). :-/ [ ]s, ojr Luis Flavio Rocha escreveu: > Segundo um email enviado por um técnico da Câmara para a lista zope-pt > o que ocorreu foi um problema de SQL-injection no sistema da Agência > Câmara. Este sistema é feito em ASP e gera XML que é consumido pelo > portal, feito em Zope. _______________________________________________ PSL-Brasil mailing list PSL-Brasil@listas.softwarelivre.org http://listas.softwarelivre.org/mailman/listinfo/psl-brasil Regras da lista: http://twiki.softwarelivre.org/bin/view/PSLBrasil/RegrasDaListaPSLBrasil
-- Luís Flávio Rocha Ever tried. Ever failed. No matter. Try again. Fail again. Fail better. Samuel Beckett (1906-1989)
_______________________________________________ PSL-Brasil mailing list PSL-Brasil@listas.softwarelivre.org http://listas.softwarelivre.org/mailman/listinfo/psl-brasil Regras da lista: http://twiki.softwarelivre.org/bin/view/PSLBrasil/RegrasDaListaPSLBrasil