é... todo mundo configura webserver direitinhu... ai santo Tux, santo Apache, Santos IDSs que tem por ai, Santos iptables e pf... acho que vou abrir um universal do reino de tux
consigo ficar rico e disponibilizar webservers bem configurados pra todo mundo! 2009/8/17 max <[email protected]> > > 2009/8/17 Herbert Faleiros <[email protected]>: > > > > On Mon 17 Aug 2009 12:11:59 Marcelo wrote: > >> O login ao shell é somente aos administradores, vou aplicar o patch. > > > > menos mal, esse exploit precisa de acesso local a um terminal p/ ser > executado > > (isso inclui ssh e afins), se só você (ou quem você confia) tem acesso > ele > > (exploit) é inútil (não pode ser executado remotamente). > > > Na verdade é bem mais perigoso do que parece. > > Pega o exploit.c no exploit que foi citado no lwn.net e modifica a > linha execl("/bin/sh", "/bin/sh", "-i", NULL); no fim da função > pa__init() colocando um comando que executa o código remoto, compila e > faz o upload do exploit (devidamente modificado) p/ um webserver > rodando php que não esteja em safe_mode (ou que libere exec) nem > chroot e olha o estrago que faz. > > Pode ser um CGI, python, a linguagem que for, se tiver um exec(). > > Ainda bem que todo mundo configura os webservers de forma segura. :) > > > > -- kram3r --~--~---------~--~----~------------~-------~--~----~ GUS-BR - Grupo de Usuários de Slackware Brasil http://www.slackwarebrasil.org/ http://groups.google.com/group/slack-users-br Antes de perguntar: http://www.istf.com.br/perguntas/ Para sair da lista envie um e-mail para: [email protected] -~----------~----~----~----~------~----~------~--~---
