LINUX.ORG.RU
ФорумTalks

Вики Дебьяна взломана

 


0

0

Администраторы сервера, на котором размещён Wiki проекта Debian, сообщили о выявлении в логе следов успешной эксплуатации уязвимости, в конце декабря исправленной в wiki-движке MoinMoin. Уязвимость позволяла злоумышленникам выполнить свой код на сервере, обслуживающем Wiki, Тем не менее прямых фактов, свидетельствующих о проникновении в систему и дальнейшем повышении своих прав через эксплуатацию иных уязвимостей, не зафиксировано (выявлены только следы атаки в логе apache).

В связи с инцидентом, wiki-сайт проекта был перенесён на новый сервер (данные перенесены на заново установленный движок). В качестве дополнительной меры безопасности все пароли пользователей Wiki были сброшены и инициирован процесс смены паролей. Старый сервер в настоящее время изучается на предмет возможного негативного влияния атаки на другие сервисы проекта.

Дополнительно можно отметить, что сайты wiki.ubuntu.com, wiki.freebsd.org, wiki.x.org, live.gnome.org, wiki.winehq.com, wiki.centos.org, gcc.gnu.org/wiki, freedesktop.org/wiki, wiki.python.org и wiki.apache.org также построены на движке MoinMoin. Судя по выдаваемой сервером информации, в текущий момент на wiki.freebsd.org, freedesktop.org/wiki и wiki.x.org используется версия MoinMoin 1.9.3, на wiki.ubuntu.com - 1.9.2, в то время как уязвимости подвержены версии с 1.9.0 до 1.9.5 включительно.

http://www.opennet.ru/opennews/art.shtml?num=35761

в wiki-движке MoinMoin

как это можно использовать для чего-то кроме персонального блокнота?

stevejobs ★★★★☆
()
Ответ на: комментарий от ritsufag

Учитывая что такие проекты как wikipedia, facebook, vkontakt и другие стабильно работают на пхп - то да, для ынтырпрайза нужен php.

Siado ★★★★★
()
Ответ на: комментарий от Siado

я писал и на том, и на другом. Очевидно, пхп годен только на то, чтобы красиво выводить странички информационных сайтов, которые ничем больше и не занимаются. Нужна хоть какая-то аналитика? Похапэ досвиданья

stevejobs ★★★★☆
()

А бздуны в панике вообще вики отключили.

Error 503 wiki.FreeBSD.org is offline due to security issue - http://moinmo.in/SecurityFixes - Should be back some time on 2013-01-05.

Polugnom ★★★★★
()
Ответ на: комментарий от stevejobs

Нужна хоть какая-то аналитика? Похапэ досвиданья

Для аналитики любой язык (особенно руби) досвидания. Тут здравствуй грамотные sql-запросы

Siado ★★★★★
()
Ответ на: комментарий от Siado

Java! C++! Erlang! Все отлично справляется. Скриптовое говно, которое даже не умеет себя в памяти держать между запросами - вот оно до свиданья - все эти похапэ, питоны, руби, буэ

stevejobs ★★★★☆
()
Ответ на: комментарий от ritsufag

Я на нём пишу.

Так вот оно что. То-то думаю странный собеседник.

Siado ★★★★★
()
Последнее исправление: Siado (всего исправлений: 1)
Ответ на: комментарий от Siado

Да плевать что «у них» там модно и не модно... Этот MoinMoin ничего не умеет, он не лучше блокнота, файлы которого лежат в гите - разве что с веб-интерфейсом. Викимедия тормозит как песец, и тоже, в общем-то, ничего не умеет. Если бы это написать на яве или плюсах, оно бы а) летало как птичка б) умело бы кучу полезностей. Но нет, вместо этого люди тратят _годы_ на вывоз скриптовой помоечки. А самое плохое, потом когда начинают новые проекты, аппелируют к «а XXX написан на PHP, значит это очень хороший язык!»...

stevejobs ★★★★☆
()

Надо каждый веб-сервис в отдельном chroot запускать и бекапить — тогда пусть хоть обэксплуатируются — максимум саму вики похерят и то только до восстановления бекапа.

Ну и желательно конечно всё там с noexec монтировать.

Xenius ★★★★★
()
Последнее исправление: Xenius (всего исправлений: 1)
Ответ на: комментарий от stevejobs

Если бы это написать на яве или плюсах, оно бы а) летало как птичка б) умело бы кучу полезностей. Но нет, вместо этого люди тратят _годы_ на вывоз скриптовой помоечки.

Ну-ну, покажи мне хоть более-менее полезный веб-проект на плюсах, который летает как птичка и имеет кучу полезностей, на который к тому же не тратились _годы_ в отличие от скриптопомойки =)

Siado ★★★★★
()
Ответ на: комментарий от stevejobs

Нужна хоть какая-то аналитика? Похапэ досвиданья

Подробнее можно?

gatsu
()
Ответ на: комментарий от Xenius

Надо каждый веб-сервис в отдельном chroot запускать и бекапить

Чувак, ты сделал великое открытие.

Kindly_Cat
() автор топика
Ответ на: комментарий от Xenius

Надо каждый веб-сервис в отдельном chroot запускать и бекапить — тогда пусть хоть обэксплуатируются — максимум саму вики похерят и то только до восстановления бекапа.

Это да, тут то и одмины обосрались. Учитывая, что в линуксах помимо croot имеются такие вещи как apparmor, selinux и прочее.

Siado ★★★★★
()
Ответ на: комментарий от stevejobs

скриптовое этосамое отлично умеет болтаться в памяти, посредством fcgi

Deleted
()
Ответ на: комментарий от Siado

Особенно учитывая, что голый chroot - это как голая жопа.

Kindly_Cat
() автор топика
Ответ на: комментарий от Umberto

Ну три с половиной калеки может его и используют.

Siado ★★★★★
()
Ответ на: комментарий от Siado

Php вышел на новый уровень - не только запуск php на каждый запроса, но теперь еще и запуск сервера!

Deleted
()
Ответ на: комментарий от AX

Арчетролли настолько толсты. Официальное исправление в MoinMoin:


security: fix path traversal vulnerability in AttachFile action

author

Thomas Waldmann <tw AT waldmann-edv DOT de>

Sat, 29 Dec 2012 18:19:25 +0100 (6 days ago)

changeset 5912

3c27131a3c52

parent 5911

ef1bee86328f

child 5913

f2fb4b3ed8e5

security: fix path traversal vulnerability in AttachFile action


Исправление уязимости в пакете Debian:


moin (1.9.3-1+squeeze4) stable-security; urgency=high
* Another security fix from upstream:
+ fix path traversal vulnerability in AttachFile action
(CVE-2012-XXXX).

 — Steve McIntyre <93sam@debian.org> Sat, 29 Dec 2012 18:53:51 +0000


И там и там 29 декабря.

Polugnom ★★★★★
()
Ответ на: комментарий от Polugnom

А потч то там какой:

    1.26 +    if attachment != wikiutil.taintfilename(attachment):
    1.27 +        upload_form(pagename, request, msg=_("Please use a valid filename for attachment '%(filename)s'.") % {
    1.28 +                              'filename': attachment})
    1.29 +        return

это же пипец, тупо не проверить имя файла при заливке

Deleted
()
Ответ на: комментарий от Deleted

Имя файла передавать вообще тупо, но такой уж веб.</troll>

Deleted
()
Ответ на: комментарий от stevejobs

Если бы это написать на яве или плюсах, оно бы а) летало как птичка б) умело бы кучу полезностей.

А если бы это было написано на санскрите, то оно бы работало на демонической энергии. Нет смысла рассуждать в сослагательном наклонении, базу википедии можно свободно скачать. Где же альтернативы не на php летающие как птичка и имеющую кучу полезностей?

Tark ★★
()

круто

ломать вику - так щас хацкеры тренируются

kto_tama ★★★★★
()
Ответ на: комментарий от Tark

Тебе нужна база википедии? Нужно запускать ее чтобы «летало»? Мне - нет, вообще все равно как-то, с чем они там сражаются. Главное к себе этих проблем не притащить.

stevejobs ★★★★☆
()
Ответ на: комментарий от Polugnom

29 декабря.

Ну всё как я и подозревал. Большой аптайм не признак стабильности, а признак дегенеративности мозгов админов.

anonymoos ★★★★★
()
Ответ на: комментарий от anonymoos

Ну хз, может взлом был до 29 декабря, просто только сейчас его обнаружили. В дебиановском DSA-2593-1 сказано «This security issue is being actively exploited». Но это не опрадываеь админов вики, не проверивших логи сразу посли публикации информации об уязвимости.

Polugnom ★★★★★
()
Ответ на: комментарий от Polugnom

Just for fun никто в логах ковыряться не будет. Это нужно на зарплате сидеть. Причём такой, чтобы мотивировала переваривать рутинные логи

anonymoos ★★★★★
()
Ответ на: комментарий от stevejobs

Скриптовое говно, которое даже не умеет себя в памяти держать между запросами - вот оно до свиданья - все эти похапэ, питоны, руби, буэ

Наркоман? :) Или еще не проснулся?

drakmail ★★★★
()
Ответ на: комментарий от drakmail

Не проснутые наркоманы - это те, кто развели этот скриптовый сракотан!

Есть у меня дерево объектов, в котором дофига данных. Текущее состояние поля боя в игре, например. Пусть оно весит 2 гигабайта в памяти, например. А теперь, как в похапэ я могу сохранить это дерево между риквестами?

stevejobs ★★★★☆
()
Ответ на: комментарий от eR

На HTML + CGI. Более уебищного интерфейса и функционала нигде не видел.

LongLiveUbuntu ★★★★★
()
Ответ на: комментарий от stevejobs

Ну, в пхп вроде никак, да :) В руби и питонах можно. Вообще, для этого есть редис и тому подобное. Он отлично умеет хранить в памяти данные :)

drakmail ★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.