09-02-09, 01:17 | # 12 |
אחראי פורום תחזוק שרתים
דירוג מסחר: (0)
|
הבעייה היא שWEBMOD זה פלאגין דפוק.
יש כל כך הרבה בעיות אבטחה איתו שזה לא נורמאלי. מה שקורה הוא שמישהו שם טאג בשם שלו, ואז זה מופיע בWEBMOD בלי שום סינון, וזה אומר שאפשר לשתול קוד בעמוד, ולעשות מה שרוצים על השרת. אני כבר גיליתי את הבעיה הזאת לפני כמה חודשים טובים, לא דיווחתי כי אני יודע שכבר הפסיקו את הפיתוח ואין סיכוי שיוציאו גרסא מתוקנת. והנה עוד מישהו עלה על זה, ומנצל את זה. אפשר לעשות דברים הרבה יותר גרועים, אפילו להשתלט על כל הקוספא שעליה מורץ WEBMOD, כבר התרעתי כמה פעמים על הנושא, אני ממליץ לכולם להפסיק להשתמש במוד הזה.
__________________
Omer Cohen
Information Security Specialist eBaY Inc |
09-02-09, 01:17 | # 13 |
אחראי פורום תחזוק שרתים
דירוג מסחר: (0)
|
הבעייה היא שWEBMOD זה פלאגין דפוק.
יש כל כך הרבה בעיות אבטחה איתו שזה לא נורמאלי. מה שקורה הוא שמישהו שם טאג בשם שלו, ואז זה מופיע בWEBMOD בלי שום סינון, וזה אומר שאפשר לשתול קוד בעמוד, ולעשות מה שרוצים על השרת. אני כבר גיליתי את הבעיה הזאת לפני כמה חודשים טובים, לא דיווחתי כי אני יודע שכבר הפסיקו את הפיתוח ואין סיכוי שיוציאו גרסא מתוקנת. והנה עוד מישהו עלה על זה, ומנצל את זה. אפשר לעשות דברים הרבה יותר גרועים, אפילו להשתלט על כל הקוספא שעליה מורץ WEBMOD, כבר התרעתי כמה פעמים על הנושא, אני ממליץ לכולם להפסיק להשתמש במוד הזה.
__________________
Omer Cohen
Information Security Specialist eBaY Inc |
11-02-09, 18:51 | # 15 | |
הוסטסניון
דירוג מסחר: (0)
|
ציטוט:
ההרצת JS וכו' לא פורסמו.. אבל לא היה קשה לגלות בכל מקרה, עדיין אין אקספלויט פומבי של הרצת קוד עם ה STACK OVERFLOW שיש ב WEBMOD אגב, מדובר באופן-סורס אם אני לא טועה, ויצאו כמה פאטצים לא רשמיים .. מצחיק שמישו כתב תולעת CS זה לא רע דווקא הרעיון.. |
|
11-02-09, 21:03 | # 16 | |
חבר על
דירוג מסחר: (0)
|
ציטוט:
או את הפאצ' ? אם אתה לא מעוניין לפרסם תוכל לשלוח לי בפרטי ? |
|
14-02-09, 01:44 | # 17 | |
אחראי פורום תחזוק שרתים
דירוג מסחר: (0)
|
ציטוט:
כי למזלנו רק ילדים מתעסקים בלהפיל שרתי CS, ישבתי על זה קצת, והוצאתי SHELL דיי בקלות..
__________________
Omer Cohen
Information Security Specialist eBaY Inc |
|
חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים) | |
|
|